Ana Sayfa Donanım & Yazılım Küçük İşletmeleri Gizlice İzleyen Kiralık APT Grubuna Ayrıntılı Bir Bakış!

Küçük İşletmeleri Gizlice İzleyen Kiralık APT Grubuna Ayrıntılı Bir Bakış!

Kaspersky araştırmacıları, en az 2012’den bu yana finans sektöründeki küçük ve orta boy işletmelere yönelik etkili casusluk saldırıları düzenleyen DeathStalker adlı “kiralık” gelişmiş kalıcı tehdit (APT) grubu hakkında ayrıntılı bir rapor yayınladı. Elde edilen son bulgulara göre Avrupa’dan Latin Amerika’ya kadar tüm dünyada şirketleri hedef alan bu grup, siber güvenliğin küçük ve orta boy işletmeler için neden bir ihtiyaç olduğunu gözler önüne seriyor.

Gündemde hep devlet destekli tehdit grupları ve gelişmiş saldırılar olsa da şirketler günümüzde birçok farklı tehditle her an karşı karşıya. Fidye yazılımlarından veri sızıntılarına ve ticari casusluğa kadar uzanan bu tehditler şirketlerin çalışmalarına ve itibarına zarar verebiliyor. Bu tür saldırılar orta düzey zararlı yazılım yöneticileri ve bazen de Kaspersky’nin 2018’den beri takip ettiği DeathStalker gibi kiralık gruplar tarafından düzenleniyor.

DeathStalker, hukuk şirketleri ve finans kuruluşlarına yönelik siber casusluk saldırılarına yoğunlaşmasıyla diğer tehdit gruplarından ayrılıyor. Yeniliklere çok hızlı uyum sağlayabilen ve yazılım tasarımında hızla çoğaltmaya yönelik bir yaklaşım sergileyen grup, etkili saldırılar düzenleyebiliyor.

Kaspersky yaptığı araştırmalarla Powersing, Evilnum ve Janicab zararlı yazılım aileleri ile DeathStalker’ın faaliyetleri arasında bir bağlantı kurabildi. Bu da grubun en az 2012’den bu yana ne kadar geniş bir yelpazede faaliyet gösterdiğini gözler önüne seriyor. Powersing, 2018’den bu yana Kaspersky tarafından izlenirken diğer iki zararlı yazılım ailesi ise diğer siber güvenlik markaları tarafından raporlandı. Bu üç zararlı yazılım ailesinin kodlarındaki ve kurbanlarındaki benzerlik, araştırmacıların bunlar arasında bir ilişki olduğunu düşünmesini sağladı.

Yıllardır aynı taktik, teknik ve prosedürleri kullanan bu tehdit grubu, zararlı dosyalar içeren arşivleri dağıtmak için hedefli kimlik avı e-postalarından yararlanıyor. Kullanıcı kısayola tıkladığında zararlı kod çalışmaya başlıyor ve internet üzerinden ek bileşenler indiriyor. Böylece saldırganlar kurbanın makinesinin kontrolünü ele geçiriyor.

Bu tehdit grubundan tespit edilen ilk zararlı yazılım olan Powersing, Power-Shell tabanlı bir sızma programıydı. Yazılım kurbanın cihazına yüklendikten sonra belirli aralıklarla ekran görüntüsü alıp istediği Powershell kodunu çalıştırabiliyordu. Sızılan cihazdaki güvenlik çözümüne göre alternatif yöntemler kullanarak kendini gizleyen bu zararlı yazılım, tespit edilmekten kaçınabiliyor, her saldırı öncesinde gruba sinyal göndererek tespit testleri yapılmasını sağlıyor ve elde edilen sonuçlara bağlı olarak kodlarını güncelleyebiliyor.

DeathStalker, Powersing yazılımını kullandığı saldırılarda ilk arka kapı iletişimlerini normal ağ trafiğine gizlemek için tanınmış bir servisten yararlanıyordu. Bu da güvenlik çözümlerinin operasyonlarını zorlaştırıyordu. Çeşitli sosyal medya ağları, blog ve mesajlaşma servislerine yerleştirilen ve ek komut ve kontrol altyapısına yönlendiren büyük miktarda veri sayesinde suçlular tespit edilmeden saldırıyı tamamlayabiliyordu. Saldırıya uğrayan kurbanlar başka yerlere erişmek istediklerinde bu veriler tarafından yönlendiriliyordu. Bu da iletişimin gizli kalmasını sağlıyordu.

DeathStalker’ın dünyanın her yerinde faaliyet göstermesi grubun operasyonlarının boyutunu ortaya koyuyor. Powersing kullanılan vakalara Arjantin, Çin, Kıbrıs, İsrail, Lübnan, İsviçre, Tayvan, Türkiye, Birleşik Krallık ve Birleşik Arap Emirlikleri’nde rastlandı. Kaspersky ayrıca Kıbrıs, Hindistan, Lübnan, Rusya ve Birleşik Arap Emirlikleri’nde Evilnum’un hedefi olan kullanıcılar tespit etti. Bu grupla alakalı Sızma Belirtileri, dosya kodları, komut ve kontrol sunucular hakkında ayrıntılı bilgiyi Kaspersky Tehdit İstihbaratı Portalında yer alıyor.

“DeathStalker, özel sektördeki kurumların kendilerini koruması gereken tehdit gruplarının en önemli örneklerinden biri. APT gruplarının faaliyetlerini izlerken, DeathStalker bize güvenliğe önem vermediği bilinen kurumların hedef olabileceğini hatırlattı. Son faaliyetlerine bakarak DeathStalker’ın bir tehdit olarak kalmayı sürdüreceğini ve yeni araçlarla kurumları hedef alacağını tahmin ediyoruz. Bu grup, küçük ve orta boy şirketlerin de güvenliğe ve güvenlik farkındalığı eğitimine yatırım yapması gerektiğini gösteriyor.” diyen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, sözlerini şöyle sürdürdü: “DeathStalker’dan korunmak isteyen kurumlara, powershell.exe ve script.exe gibi kodlama dillerini kullanma özelliğini devre dışı bırakmalarını tavsiye ediyoruz. Ayrıca, düzenlenecek farkındalık eğitimleri ve güvenlik ürünü değerlendirmelerinde kısayol dosyalarının kullanıldığı saldırılara da yer verilmesini öneriyoruz.”

Kaspersky araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

  • Güvenlik operasyonları ekibinizin en son tehdit istihbaratına erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketlerin tehdit istihbaratına tek bir noktadan erişmesini sağlayarak Kaspersky’nin 20 yılı aşkın süredir elde ettiği tüm siber saldırı verilerini ve analizlerini sunuyor.
  • Kaspersky’nin Integrated Endpoint Security çözümü gibi doğru uç nokta koruma yöntemlerinin kullanılmasını sağlayın. Uç nokta güvenliğini sanal ortam ve EDR işleviyle birleştiren bu etkili güvenlik çözümü, hem gelişmiş tehditlere karşı koruma sunuyor hem de kurumsal uç noktalarda tespit edilen tehditlerin anında görülebilmesini sağlıyor.
  • Çoğu hedefli saldırı kimlik avı veya diğer bir sosyal mühendislik yöntemiyle başladığından, Kaspersky Automated Security Awareness Platform gibi bir hizmet üzerinden güvenlik farkındalığı eğitimleri verin ve pratik becerileri öğretin.

BENZER HABERLER

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz

1,220BeğenenlerBeğen
1,950TakipçilerTakip Et
1,340TakipçilerTakip Et

SON HABERLER

Cyberpunk 2077 ‘Night City’ Temalı Yeni Fragmanlar

Bu yılın en çok merak edilen video oyunlarından biri olan Cyberpunk 2077'nin sistem gereksinimleri dışında , geliştiriciler CD Projekt Red de geçtiğimiz günlerde iki yeni fragman yayınladı. Her iki...

Avrupa Komisyonu, Apple’ın Ödemediği Vergilerin Peşinde

Daha önce Apple'ın İrlanda'ya 13 milyar euro (11.6 milyar sterlin) geçmiş vergi ödemesi gerektiği iddiasıyla görülen davada AB genel mahkemesi böyle bir...

40 MİLYON TL Değerleme | İşleri Kolaylaştırıyoruz A.Ş “İKAS” CEO’su Mustafa Namoğlu | Turkish Mafia

"Turkish Mafia"! serimizin bu bölümünde İKAS CEO'su Mustafa Namoğlu bizimleydi. İşleri nasıl kolaylaştırıyorlar, e-ticaret neden İKAS'tan sorulur, 40 MİLYON TL değerleme ile...

Acun Ilıcalı Netflix’in Benzeri Bir Platform Olan Exxen’i Duyurdu!

Acun Ilıcalı'nın dünyanın en büyük dizi ve film platformlarından Netflix'e benzeyen bir platform yaratacağı konuşuluyordu. Ilıcalı, Exxen isimli yeni projesini açıkladı.

Vespa Primavera Sean Wotherspoon: Şehrin Sokaklarına Yeni Bir İkon Geldi!

80’ler ve 90’lar Ruhunu, Zamanın Ötesine Geçen Tasarımlarla Buluşturan Vespa Primavera Sean Wotherspoon Türkiye’deİtalya’nın ikonik motosiklet markası Vespa,...