Siber saldırganlar yeni ve eski teknikleri yaratıcılıklarıyla birleştiriyor
Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Ariel Jungheit:- "Bazı tehdit aktörleri zaman içinde tutarlı kalırken ve kurbanları kötü amaçlı ekleri indirmeye ikna etmek için Kovid-19 gibi popüler konuları kullanmaya çalışırke
İSTANBUL (AA) - Yılın üçüncü çeyreğinde Gelişmiş Kalıcı Tehdit (APT) gruplarının yeni ve eski teknikleri yaratıcılıklarıyla birleştirerek hedeflerine başarıyla ulaştığı tespit edildi.
Kaspersky'ın açıklamasına göre, dünyanın farklı yerlerinden gelen APT trendleri, şirketin son üç aylık tehdit istihbaratı raporunda ele alındı.
Buna göre, Kaspersky araştırmacıları, 2020 yılının 3. çeyreğinde tehdit aktörleri tarafından kullanılan genel yaklaşımda bir bölünme gözlemledi. Dünya çapında APT gruplarının taktiklerinde, tekniklerinde ve prosedürlerinde (TTP'ler) oldukça önemsiz bulaşma vektörleri ve araç setlerinin kullanıldığı etkili kampanyaların yanı sıra birçok gelişmeye de tanık olundu.
Geçen çeyreğin en dikkate değer bulgularından biri, herhangi bir modern bilgisayar cihazının temel bir donanım bileşeni olan UEFI için özel bir önyükleme kiti kullanarak kurbanlardan birine bulaşmaya karar veren, bilinmeyen bir aktör tarafından yürütülen bir kampanya oldu.
Bu enfeksiyonun, MosaicRegressor adlı çok aşamalı bir bütünün parçası olduğu gözlendi. UEFI üzerinden bulaşması, cihaza yerleştirilen kötü amaçlı yazılımın son derece kalıcı olmasını sağladı ve kaldırılmasını son derece zor hale getirdi. Bunun da ötesinde, kötü amaçlı yazılım tarafından her kurbanın cihazına indirilen yük farklı olabiliyordu. Bu esnek yaklaşımın, saldırganın yükünü daha iyi gizlemesini sağladığı gözlendi.
- "Bazı oyuncular hala düşük teknolojili enfeksiyon zincirlerini başarıyla kullanıyor"
Diğer oyuncuların stenografiden yararlandığı görüldü. Windows Defender güvenlik çözümü için ayrılmaz ve onaylanmış bir program olan Authenticode imzalı Windows Defender ikili dosyasını kötüye kullanan yeni bir yöntem, Avrupa'da bir telekom şirketine yapılan saldırıda tespit edildi. Ke3chang ile ilişkilendirilen devam eden bir kampanya, Okrum arka kapısının yeni bir sürümünü kullandı. Saldırganlar, defender yürütülebilir dosyasındaki ana yükü gizlemek için steganografi kullandı ve dijital imzayı geçerli kılarak tespit şansını azalttı.
Diğer birçok aktör de kendilerini daha esnek ve algılanmaya daha az eğilimli hale getirmek için araç setlerini güncellemeye devam ediyor. MuddyWater APT grubu tarafından geliştirilenler gibi çeşitli çok aşamalı çerçeveler vahşi ortamda görünmeyi sürdürüyor. Bu eğilim diğer kötü amaçlı yazılımlar için de geçerli oluyor.
Bununla birlikte, bazı oyuncular hala düşük teknolojili enfeksiyon zincirlerini başarıyla kullanıyor.
- "Saldırganlar Kovid-19'u bile kullanıyor"
Açıklamada konuya ilişkin değerlendirmeleri yer alan Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Ariel Jungheit, bazı tehdit aktörlerinin zaman içinde tutarlı kaldığını ve kurbanları kötü amaçlı ekleri indirmeye ikna etmek için Kovid-19 gibi popüler konuları kullanmaya çalıştığını belirterek, diğer grupların kendilerini ve araç setlerini yeniden keşfettiğini bildirdi.
"Saldırıya uğrayan platformların genişleyen kapsamı, yeni bulaşma zincirleri ve saldırı altyapılarının bir parçası olarak yasal hizmetlerin kullanımı, son çeyrekte tanık olduğumuz şeyler." ifadesini kullanan Jungheit, şu açıklamalarda bulundu:
"Genel olarak bunun siber güvenlik uzmanları için anlamı şudur: Siber güvenlik uzmanlarının geçmişte daha az incelenen, yeni kötü niyetli faaliyetleri avlamak için kaynak ayırması gerekir. Bu, daha az bilinen programlama dillerinde yazılan ve yasal bulut hizmetleri aracılığıyla yazılan kötü amaçlı yazılımları içerir. Saldırganların faaliyetlerini ve TTP'leri izlemek, yeni teknikleri ve araçları uyarlarken onları takip etmemize ve böylece kendimizi yeni saldırılara zamanında tepki vermeye hazırlamamıza olanak tanıyor."