Kaspersky'dan hedefli saldırı tespiti
Kaspersky Kıdemli Güvenlik Araştırmacısı Konstantin Zykov:- "Bu vaka, kimlik avı yönteminin siber saldırılarda ne kadar etkili olduğuna çok iyi bir örnek"- "Şirketlerin gelişmiş bir grubun saldırısını anlayabilmeleri için güncel tehdit istihbaratı alması
İSTANBUL (AA) - Kaspersky araştırmacıları, Doğu Avrupa'daki finansal ve askeri kurumlara yönelik yeni bir hedefli saldırı tespit etti.
Şirket açıklamasına göre, Kaspersky araştırmacıları, "Bisonal" adlı bir arka kapının 300'den fazla örneğini, en az 2012'den beri faaliyetlerini sürdüren CactusPete adlı gelişmiş kalıcı tehdit grubunun düzenlediği saldırıyla ilişkilendirdi. Grubun son saldırısında Doğu Avrupa'daki askeri ve finansal kurumlara odaklanıldı.
"Karma Panda" veya "Tonto Teaь" olarak da bilinen CactusPete, bir siber casusluk grubu olarak öne çıkıyor. Son dalga faaliyetler, grubun kullandığı Bisonal arka kapısının güncel sürümünü tespit eden Kaspersky araştırmacıları tarafından ilk olarak Şubat 2020'de fark edildi. Araştırmacılar, tespit edilen zararlı kodları bilinen tehdit gruplarının kullandığı kodlarla karşılaştırıp aralarındaki benzerlikleri bularak saldırının kimler tarafından gerçekleştirildiğini belirleyen araştırmacılar, bu örnek ile 300 diğer örnek arasında bağlantı buldu.
300 örneğin tamamı, Mart 2019 ila Nisan 2020 arasında görüldü. Ayda yaklaşık 20 örneğin ortaya çıkması CactusPete'in ne kadar hızlı geliştiğinin de bir göstergesi oldu. Grup becerilerini artırarak 2020'de ShadowPad gibi daha gelişmiş kodlara erişebildi.
Kurbanın cihazına yüklenen Bisonal arka kapısı, grubun fark edilmeden çeşitli programlar çalıştırmasına, istediği işlemi sonlandırmasına, dosya indirmesine, yüklemesine ve silmesine, mevcut sürücülerin listesine ulaşmasına olanak veriyor. Operatörler sızılan sistemde daha derine ilerledikçe, cihazlarda basılan tuşları takip eden yazılımlar kullanarak kimlik bilgilerini ele geçirebiliyor ve zaman içinde sistemde daha fazla kontrol elde etmelerini sağlayan yetki artırma yazılımları indirebiliyor.
Son saldırıda arka kapının ilk olarak nasıl kurulduğu ise henüz tespit edilemedi. CactusPete geçmişte kötü amaçlı ekler içeren e-postalarla düzenlediği hedef odaklı kimlik saldırılarından yararlanıyordu. Bu saldırılarda, ek dosya açıldığında cihaza sızılabiliyor.
- "Uç nokta tespit ve müdahale çözümü kullanın"
Açıklamada görüşlerine yer verilen Kaspersky Kıdemli Güvenlik Araştırmacısı Konstantin Zykov, CactusPete'nin son derece ilginç bir APT grubu olduğunu, Bisonal arka kapısıyla birlikte bile o kadar da gelişmiş bir grup olmadığını belirterek, şunları kaydetti:
"Başarılarının ardında karmaşık teknolojiler veya dağıtım ve gizleme yöntemleri değil, etkili sosyal mühendislik taktikleri bulunuyor. Üst düzey hedeflere sızabilmelerinin nedeni kurbanların kimlik avı e-postalarındaki zararlı ekleri açması. Bu vaka, kimlik avı yönteminin siber saldırılarda ne kadar etkili olduğuna çok iyi bir örnek. İşte bu nedenle şirketlerin, çalışanlarını bu tür e-postaları tespit etmeleri için eğitmesi ve gelişmiş bir grubun saldırısını anlayabilmeleri için güncel tehdit istihbaratı alması büyük önem taşıyor."
Kaspersky uzmanları, CactusPete ve diğer APT'lerden korunmak için şunları öneriyor:
"Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın. Ekibinizin temel siber güvenlik önlemlerini öğrenmesini sağlayın. Çoğu hedefli saldırıların kimlik avı veya diğer sosyal mühendislik yöntemleriyle başladığını unutmayın. Uygulamalı gösterimler yaparak kimlik avı e-postalarını ayırt edebilmelerini sağlayın."