Kaspersky uzmanlarının HoneyMyte’e ait birden fazla kampanyada gözlemlediği CoolClient arka kapısının en güncel sürümü, sıklıkla PlugX ve LuminousMoth ile birlikte ikincil bir arka kapı olarak dağıtılıyor. Temel olarak DLL side-loading tekniğini kullanan bu yapı, kötü amaçlı bir DLL’in çalıştırılabilmesi için meşru ve dijital olarak imzalanmış bir uygulamaya ihtiyaç duyuyor. Tehdit aktörünün 2021–2025 yılları arasında farklı yazılım ürünlerine ait imzalı dosyaları istismar ettiği, son kampanyalarda ise Sangfor’a ait imzalı bir uygulamadan yararlanıldığı belirlendi. En son geliştirmeler kapsamında, pano (clipboard) izleme ve aktif pencere takibi gibi yeni yetenekler eklendi. Bu özellikler sayesinde pano içeriği; aktif uygulamanın pencere başlığı, işlem kimliği (PID) ve zaman damgasıyla kaydedilerek, kopyalanan verilerin bağlamı üzerinden kullanıcı aktivitelerinin izlenmesine olanak tanıyor.

CoolClient ayrıca ağ trafiği üzerinden HTTP proxy kimlik bilgilerini çıkarabilme yeteneğiyle de geliştirildi. Bu teknik, HoneyMyte zararlı yazılımlarında ilk kez gözlemlendi. Araştırma kapsamında, CoolClient’a ait ve aktif olarak kullanılan birden fazla eklenti (plugin) de tespit edildi. Bu durum, aracın özel eklentiler aracılığıyla genişletilebilir bir yapıya sahip olduğunu gösteriyor.

HoneyMyte, yürüttüğü bazı siber casusluk kampanyalarında sistem bilgisi toplamak, belgeleri sızdırmak ve tarayıcılarda saklanan kimlik bilgilerini ele geçirmek amacıyla script’lerden yararlandı. Grup ayrıca, operasyon sonrası aşamada (post-exploitation) yeni bir Chrome kimlik bilgisi hırsızı zararlı yazılım sürümü kullandı. Bu yazılımın, ToneShell kampanyasında görülen örneklerle önemli ölçüde kod benzerliği taşıdığı belirlendi.

Kaspersky GReAT güvenlik araştırmacısı Fareed Radzi:“Keylogging, pano izleme, proxy kimlik bilgisi hırsızlığı, belge sızdırma, tarayıcı kimlik bilgisi toplama ve büyük ölçekli dosya hırsızlığı gibi yeteneklerle birlikte, aktif gözetim artık APT’lerin standart taktiklerinden biri haline geldi. Bu da, geleneksel tehditler olan veri sızdırma ve kalıcılık mekanizmaları kadar güçlü bir hazırlık ve proaktif savunma yaklaşımını zorunlu kılıyor.” dedi.

Detaylı teknik bilgilere Securelist üzerinden ulaşılabilirsiniz.

HoneyMyte ve diğer APT tehditlerine karşı korunmak için kurumlara aşağıdaki en iyi uygulamalar öneriliyor:

• CoolClient arka kapısı başta olmak üzere HoneyMyte araç setinin dağıtımına ve PlugX, ToneShell, Qreverse ve LuminousMoth gibi ilişkili zararlı yazılım ailelerine karşı yüksek düzeyde farkındalık ve teyakkuz sağlanmalı.
• Kurumların geniş bir tehdit yelpazesine karşı korunabilmesi için, gerçek zamanlı koruma, tehdit görünürlüğü, olay inceleme ile EDR ve XDR tabanlı müdahale yetkinlikleri sunan Kaspersky Next ürün ailesindeki çözümler tercih edilmeli. Mevcut ihtiyaçlara ve kaynaklara göre en uygun ürün seviyesi seçilebilir; siber güvenlik gereksinimleri değiştikçe farklı bir seviyeye kolayca geçiş yapılabilir.
• Tehdit tespitinden sürekli koruma ve iyileştirmeye kadar tüm olay yönetimi yaşam döngüsünü kapsayan Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetleri benimsenmeli. Bu hizmetler, nitelikli siber güvenlik uzmanı eksikliği olan kurumlar için ek uzmanlık sağlayarak, karmaşık ve gizlenmiş saldırılara karşı etkin koruma sunar.
• Bilgi güvenliği ekiplerine, kurumlarını hedef alan tehditlere dair derinlemesine görünürlük kazandırılmalı. Kaspersky Threat Intelligence çözümleri, olay yönetimi sürecinin tamamı boyunca zengin ve anlamlı bağlam sunarak siber risklerin zamanında tespit edilmesine yardımcı olur.

Kaspersky, Honeymyte APT’nin Yeni Kampanyalarını ve Araç Setini Ortaya Çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Çin bağlantılı gruplar Latin Amerika’yı hedef aldı

ESET araştırmacılarına göre, Çin bağlantılı APT grupları, Pekin’in dış politika hedefleri doğrultusunda hareket etmeye devam ediyor.
FamousSparrow adlı grup, “ortadaki düşman” (man-in-the-middle) tekniğini kullanarak Latin Amerika’daki birçok devlet kurumunu hedef aldı.

ESET, bu saldırıların, ABD-Çin güç mücadelesinin Latin Amerika’daki yansımalarıyla bağlantılı olabileceğini bildirdi.
Grubun son aylarda Arjantin, Ekvador, Guatemala, Honduras ve Panama’daki devlet kurumlarına siber saldırılar düzenlediği tespit edildi.

Rusya merkezli tehdit grupları operasyonlarını genişletti

Rapor, Rusya bağlantılı APT gruplarının ise özellikle Ukrayna ve Avrupa Birliği ülkelerine yönelik operasyonlarını artırdığını gösteriyor.Gamaredon ve Sandworm grupları Ukrayna’da en aktif tehdit aktörleri olurken, RomCom grubu WinRAR’daki sıfır gün açığını istismar ederek Avrupa ve Kanada’daki finans, savunma ve lojistik sektörlerine saldırdı.

ESET, InedibleOchotense adlı Rusya bağlantılı bir grubun, ESET markasını taklit ederek sahte e-postalar ve Signal mesajlarıyla spearphishing kampanyası yürüttüğünü de açıkladı.Bu saldırılarda, meşru ESET ürünleri gibi görünen trojanize yükleyiciler kullanıldı.

Belarus ve Kuzey Kore bağlantılı gruplar da aktif

Belarus merkezli FrostyNeighbor grubunun, Roundcube e-posta yazılımındaki bir XSS açığını kullanarak Polonya ve Litvanya’daki şirketleri hedef aldığı bildirildi.
Saldırılarda yapay zekâ ile oluşturulduğu düşünülen e-postalar, emoji ve madde işaretleriyle desteklenmiş metinler dikkat çekti.

Öte yandan, Kuzey Kore bağlantılı tehdit aktörleri, Güney Kore ve kripto para sektörüne yönelik operasyonlarını sürdürdü.
Bu grupların, rejimin gelir kaynaklarını güçlendirmek amacıyla kripto varlık hırsızlığına yoğunlaştığı tespit edildi.

ESET: “Jeopolitik gerilim dijital savaş alanına taşındı”

ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin, raporla ilgili yaptığı açıklamada şu ifadeleri kullandı:

“Rusya bağlantılı bir tehdit aktörünün ESET markasını taklit etmesi bile, küresel siber savaşın geldiği noktayı gösteriyor.
Çin bağlantılı gruplar ise Asya, Avrupa, Latin Amerika ve ABD’de oldukça aktif. Bu da, Pekin’in mevcut jeopolitik önceliklerini desteklemek için bu grupların yönlendirildiğini gösteriyor.”

Küresel istihbarat paylaşımı sürüyor

ESET’in yayımladığı APT raporu, şirketin tescilli telemetri verilerine dayanıyor. Araştırmacılar, belirli APT gruplarının faaliyetlerini derinlemesine teknik analizlerle belgeleyerek, kritik altyapıların ve yüksek değerli varlıkların korunmasına katkı sunuyor.

ESET, küresel çapta tehdit istihbaratı paylaşımı yaparak hem kamu kurumlarını hem de özel sektörü bu tehditlere karşı bilgilendiriyor.

APT raporu, Çin ve Rusya bağlantılı siber tehditlerin küresel ölçekte arttığını ortaya koydu yazısı ilk önce En Gazete üzerinde ortaya çıktı.

APT (Gelişmiş Kalıcı Tehdit), çoğu siber suç faaliyetini oluşturan olayların aksine, belirli kuruluşlara karşı özel tasarlanmış, gizli ve devam eden saldırılar gerçekleştirmesiyle bilinen bir tehdit kategorisi olarak adlandırılıyor. Güney Afrika’daki saldırı sırasında gözlemlenen saldırı teknikleri, Kaspersky’nin saldırıyı yüksek ihtimalle Çince konuşan APT41 grubuna atfetmesini sağlıyor. Saldırının birincil hedefi, bu tehdit aktörü için alışıldık bir amaç olan siber casusluk. Saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas verileri toplamaya çalışıyor. APT41’in Güney Afrika bölgesinde oldukça sınırlı faaliyet göstermesi dikkat çekici. APT41 siber casusluk konusunda uzmanlaşmış bir grup ve telekomünikasyon sağlayıcıları, eğitim ve sağlık kurumları, BT, enerji ve diğer sektörler de dahil olmak üzere çeşitli sektörlerdeki kuruluşları hedef alıyor. Grubun en az 42 ülkede faaliyet gösterdiği biliniyor.

Kaspersky uzmanlarının analizine göre, saldırganlar internete açık bir web sunucusu aracılığıyla kurumun ağına erişim sağlamış olabilirler. Saldırganlar, profesyonel terimde kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama tekniği kullanarak biri tüm iş istasyonlarında yerel yönetici haklarına sahip, diğeri etki alanı yöneticisi ayrıcalıklarına sahip bir yedekleme çözümüne ait olmak üzere iki ayrı kurumsal etki alanı hesabını ele geçirdi. Bu hesaplar saldırganların kurum içindeki diğer sistemleri de ele geçirmesine olanak sağladı.

Veri toplamak için kullanılan hırsızlardan biri, verileri dışa aktarmak ve şifresini çözmek için değiştirilmiş bir Pillager yardımcı programıydı. Saldırganlar kodu çalıştırılabilir bir dosyadan Dinamik Bağlantı Kitaplığına (DLL) derlediler. Bununla tarayıcılardan, veritabanlarından ve yönetim araçlarından kaydedilmiş kimlik bilgilerinin yanı sıra proje kaynak kodu, ekran görüntüleri, aktif sohbet oturumları ve verileri, e-posta yazışmaları, yüklü yazılım listeleri, işletim sistemi kimlik bilgileri, Wi-Fi kimlik bilgileri ve diğer bilgileri toplamayı amaçladılar.

Saldırı sırasında kullanılan ikinci hırsızlık aracı Checkout oldu. Bu araç kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen dosyalar ve tarayıcıda depolanan kredi kartı verileri hakkında da bilgi toplayabiliyordu. Saldırganlar ayrıca RawCopy yardımcı programını ve Mimikatz’ın Dinamik Bağlantı Kitaplığı (DLL) olarak derlenmiş bir sürümünü kayıt dosyalarını ve kimlik bilgilerini dökmek, ayrıca ele geçirilen ana bilgisayarlarda Komuta ve Kontrol (C2) iletişimi için Cobalt Strike’ı kullandılar.

Kaspersky Managed Detection and Response Lider SOC Analisti Denis Kulik, şunları söyledi: “İlginç bir şekilde, saldırganlar Cobalt Strike’ın yanı sıra C2 iletişim kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiler. Bu sunucuyla bir web kabuğuna bağlı özel C2 aracıları kullanarak iletişim kurdular. SharePoint’i altyapıda zaten mevcut olan ve şüphe uyandırması muhtemel olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıca bu durum, muhtemelen meşru bir iletişim kanalı aracılığıyla veri sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları kontrol etmek için en uygun yolu sundu. Genel olarak kapsamlı uzmanlık ve tüm altyapının sürekli izlenmesi olmadan bu tür sofistike saldırılara karşı savunma yapmak mümkün değildir. Kötü niyetli faaliyetleri erken bir aşamada otomatik olarak engelleyebilen çözümlerle tüm sistemlerde tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına aşırı ayrıcalıklar vermekten kaçınmak çok önemlidir,”

Benzer saldırıları azaltmak veya önlemek için Kaspersky kuruluşların aşağıdaki en iyi uygulamaları takip etmeleri tavsiye ediyor:

• Olayların zamanında tespit edilmesini sağlamak ve olası hasarı en aza indirmek için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında konuşlandırıldığından emin olun.
• Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve kontrol edin. Özellikle altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için aşırı hak atamalarından kaçının.
• Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve EDR ve XDR’nin yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın. Mevcut ihtiyaçlarınıza ve kaynaklarınıza bağlı olarak, en uygun ürün katmanını seçebilir ve siber güvenlik gereksinimleriniz değişirse kolayca başka bir ürüne geçebilirsiniz.
• Tehdit tanımlamadan sürekli koruma ve düzeltmeye kadar tüm olay yönetimi döngüsünü kapsayan, Kaspersky’nin Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin.  Bunlar siber saldırılara karşı korunmaya, olayları araştırmaya ve şirkette siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar.
• InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine bir görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, tüm olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sağlar ve siber riskleri zamanında tespit etmelerine yardımcı olur.

Olayın ayrıntılı analizini Securelist’te bulabilirsiniz.

Kaspersky Managed Detection and Response hizmeti, şüpheli etkinlikleri izler ve kurumların saldırının etkisini en aza indirmek için hızlı bir şekilde yanıt vermesine yardımcı olur. Bu hizmet, Fortune Global 500 kuruluşları için olay müdahalesi, yönetilen tespit, SOC danışmanlığı, kırmızı ekip, sızma testi, uygulama güvenliği ve dijital risklerin korunması gibi her yıl yüzlerce bilgi güvenliği projesi sunan bir ekip olan Kaspersky Security Services‘in bir parçasıdır.

Güney Afrika’da APT41 Saldırısı: Kaspersky, Tehdit Seviyesini Açıkladı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Gelişmiş Kalıcı Tehdit (APT) grubu Careto, öncelikle kamu kurumlarını, diplomatik kuruluşları, enerji şirketlerini ve araştırma kurumlarını hedef alan son derece sofistike saldırılarıyla biliniyor. Bu APT tehdit aktörünün faaliyetleri 2007 yılından 2013 yılına kadar gözlemlenmişti, ancak o zamandan beri bu tehdit grubuyla ilgili herhangi bir haber olmaması dikkat çekiciydi. Kaspersky araştırmacıları, APT trendleri hakkındaki üç aylık raporlarında, Careto’ya atfettikleri son kötü amaçlı kampanyaların arkasındaki ayrıntıları açıkladı.

Saldırganların ilk bulaşma vektörü, MDaemon e-posta yazılımını çalıştıran kuruluşun e-posta sunucusunu tehlikeye atmayı başardı. Bu sunucuya daha sonra saldırgana ağ üzerinde kontrol sağlayan farklı bir arka kapı bulaştırıldı. Tehdit aktörü, dahili ağ içinde yayılmak için bir güvenlik çözümünde daha önce tanımlanmamış bir hatadan faydalanarak kötü amaçlı implantların birden fazla makineye gizlice dağıtılmasını sağladı. Saldırgan, etkiyi artırmak için profesyonel uzmanlıkla tasarlanmış dört sofistike, çok modüler implant kullandı.

Çok modlu bir çerçeve olarak kötü amaçlı yazılım, sistem yapılandırması, oturum açma adları, parolalar, yerel makinedeki dizinlerin yolları ve daha fazlasını toplamak amacıyla mikrofon kaydedici ve dosya hırsızı gibi işlevler içeriyor. Operatörlerin özellikle kurumun gizli belgeleri, çerezleri, form geçmişi ve Edge, Chrome, Firefox ve Opera tarayıcıları için oturum açma verilerinin yanı sıra Threema, WeChat ve WhatsApp mesajlaşma programlarından gelen çerezlerle ilgilendikleri gözlemlendi.

Kaspersky’nin tespitlerine göre yeni keşfedilen Careto implantlarının hedef aldığı kurbanlar arasında, daha önce 2022, 2019 ve 10 yıldan daha uzun bir süre önce Careto ile tehlikeye atılan Latin Amerika’daki bir kuruluş ve Orta Afrika’daki bir kuruluş yer alıyor.

Kaspersky Global Araştırma ve Analiz Ekibi Güvenlik Araştırmacısı Georgy Kucherin, şunları söyledi:”’Careto APT, yıllardır oldukça yüksek düzeyde karmaşıklığa sahip kötü amaçlı yazılımlar geliştiriyor. Yeni keşfedilen implantlar, hem benzersiz hem de sofistike dağıtım taktikleri ve teknikleri ile karmaşık çok modlu çerçevelerden oluşuyor. Bunların varlığı Careto’nun operasyonlarının gelişmiş doğasına işaret ediyor. Keşfedilen kötü amaçlı yazılımın gelecekteki Careto saldırılarında kullanılmasını beklediğimiz için bu tehdit aktörünün faaliyetlerini yakından izlemeye devam edeceğiz.”

Kaspersky araştırmacıları, APT grupları tarafından dünya çapında siber saldırılarda başlatılan yeni araçları, teknikleri ve kampanyaları sürekli olarak gözlemliyor. Şirketin uzmanları, %90’ı casuslukla ilgili olmak üzere 900’den fazla operasyon ve grubu izlemeye aldı. Careto kampanyası, Kaspersky’nin en son APT Q1 trend raporunda açıklandı. Diğer gelişmiş kampanyalar hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edin.

Careto’nun geri dönüşüyle ilgili daha fazla ayrıntı önümüzdeki Virus Bulletin konferansında açıklanacak.

Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısının kurbanı olmamanız için aşağıdaki önlemlerin alınmasını öneriyor:

• SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin TI’sına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlerle mücadele edecek şekilde geliştirin.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky NEXT gibi EDR çözümlerini uygulayın.
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü uygulayın

Kaynak: (BYZHA) Beyaz Haber Ajansı

Careto APT 10 yıl sonra yeniden ortaya çıktı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kaspersky, Tomiris’i ilk kez Eylül 2021’de Bağımsız Devletler Topluluğu’ndaki (BDT) bir devlet kuruluşuna yönelik DNS korsanlığı soruşturmasının ardından kamuoyuna açıklamıştı. Araştırmacılar o dönemde saldırının SolarWinds olayıyla kesin olmayan benzerliklere dikkat çekmişti. Araştırmacılar Tomiris’i 2021 ve 2023 yılları arasında birkaç yeni saldırı kampanyasında ayrı bir tehdit aktörü olarak izlemeye devam ettiler. Kaspersky telemetrisi, grubun araç setine ve Turla ile olası bağlantısına ışık tutmaya yardımcı oldu.

Nihai amacı gizli belgeleri çalmak olan tehdit aktörü, BDT’deki hükümete ait olan ve diplomatik kurumları hedef alıyor. Arada bir Orta Doğu veya Güneydoğu Asya gibi diğer bölgelerde de keşfedilen kurbanların BDT ülkelerinin yabancı temsilcilikleri olduğunun ortaya çıkması, Tomiris’in dar bir hedefe odaklandığını gösteriyor.

Tomiris çok çeşitli saldırı vektörleri kullanarak kurbanlarının peşine düşüyor. Kötü amaçlı içerik eklenmiş kimlik avı e-postaları (parola korumalı arşivler, kötü amaçlı belgeler, silahlandırılmış LNK’ler), DNS ele geçirme, güvenlik açıklarından yararlanma (özellikle ProxyLogon), şüpheli drive-by indirmeleri ve diğer yaratıcı yöntemler Tomiris’in bulaşmak için kullandığı teknikler arasında yer alıyor.

Tomiris araçları arasındaki ilişkiler. Oklar dağılım bağlantısını gösteriyor.

Ticari araç alışverişinde bulunan ayrı aktörler 

Tomiris’in son operasyonlarını özel kılan şey büyük ihtimalle daha önce Turla ile bağlantılı olan KopiLuwak ve TunnusSched zararlı yazılımlarını kullanmış olmaları. Ancak ortak araç setini paylaşmalarına rağmen, Kaspersky’nin son araştırması Turla ve Tomiris’in büyük olasılıkla ticari araç alışverişinde bulunan ayrı aktörler olduğunu gösteriyor.

Tomiris Rusça konuşmakla birlikte, hedefleri ve ticaret için kullandığı teknikler Turla için gözlemlenenlerle önemli ölçüde çelişiyor. Ayrıca Tomiris’in izinsiz girişlere dair genel yaklaşımı ve gizliliğe olan sınırlı ilgisi, daha önce belgelenmiş Turla ticaret teknikleriyle eşleşmiyor. Bununla birlikte Kaspersky araştırmacıları, ortak araç paylaşımının Tomiris ve Turla arasındaki iş birliğinin potansiyel bir kanıtı olduğuna inanıyor. Bu durum Tomiris’in KopiLuwak’ı ne zaman kullanmaya başladığına bağlı olarak, Turla ile bağlantılı olduğu düşünülen bir dizi kampanya ve aracın yeniden değerlendirilmesini gerektirebilir.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Araştırmalarımız KopiLuwak veya TunnusSched kullanımının siber saldırıları Turla ile ilişkilendirmek için artık yeterli olmadığını gösteriyor. Bildiğimiz kadarıyla bu araç seti şu anda Turla’dan farklı olduğuna inandığımız Tomiris tarafından kullanılıyor. Ancak her iki aktör muhtemelen bir noktada işbirliğine gitti. Taktiklere ve kötü amaçlı yazılım örneklerine bakmanın bizi sadece bir yere kadar götürdüğünü ve tehdit aktörlerinin örgütsel ve siyasi kısıtlamalara tabi olduğunu sık sık hatırlatıyoruz. Bu araştırma, yalnızca istihbarat paylaşımı yoluyla üstesinden gelebileceğimiz teknik ilişkilendirmenin sınırlarını gösteriyor.” 

Tomiris APT grubu hakkındaki raporun tamamını Securelist’te bulabilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• SOC ekibinizin en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Tehdit İstihbaratı Portalı, şirketin tehdit istihbaratının ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörülerini sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik ekibinizin yeteneklerini en son hedefli tehditlerle mücadele edecek şekilde geliştirin.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın.
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümüne başvurun.
• Birçok hedefli saldırı kimlik avıyla veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler kazanmalarını sağlayın. Bunu Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla yapabilirsiniz.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, Bağımsız Devletler Topluluğu’ndaki devlet kurumlarını hedef alan Tomiris APT grubunu gözlem altına aldı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

iOS için daha önce keşfedilmemiş kötü amaçlı yazılım platformunun kullanımını da içeren ve uzun süredir devam eden “Operation Triangulation” kampanyasının açığa çıkması bu dönemin önemli gelişmelerinden biri oldu. Uzmanlar ayrıca herkesin farkında olması gerektiğine inandıkları başka ilginç gelişmeler de yeni raporda paylaştılar. 

Raporda öne çıkan önemli noktalar şöyle:

Asya-Pasifik yeni bir tehdit aktörüyle tanışıyor- Mysterious Elephant

Kaspersky, Asya-Pasifik bölgesinde faaliyet gösteren ve “Mysterious Elephant” (Gizemli Fil) olarak adlandırılan yeni bir tehdit aktörü ortaya çıkardı. Söz konusu tehdit aktörü son kampanyalarında kurbanın bilgisayarında dosya ve komut yürütebilen ve virüslü sistemde yürütülmek üzere uzak sunucudan dosya veya komut alabilen yeni arka kapı aileleri kullandı. Kaspersky araştırmacıları yazılımın Confucius ve SideWinder ile benzerliklerini gözlemlemiş olsa da, Mysterious Elephant kendisini diğerlerinden ayıran farklı ve benzersiz bir TTP setine sahip.

Güncellenen araç setleri: Lazarus yeni zararlı yazılım varyantı geliştirdi,

BlueNoroff macOS’a saldırdı

Tehdit aktörleri, Lazarus’un MATA çerçevesini yükseltmesi ve MATA kötü amaçlı yazılım ailesinin yeni bir varyantı olan MATAv5’i tanıtmasıyla tekniklerini sürekli olarak geliştirdiğini gösteriyor. Lazarus’un finansal saldırı odaklı bir alt grubu olan BlueNoroff, son kampanyalarda Truva atı bulaşmış PDF okuyucuların kullanımı, macOS kötü amaçlı yazılımlarının uygulanması ve Rust programlama dili de dahil olmak üzere yeni dağıtım yöntemleri ve programlama dilleri kullanıyor. Ayrıca ScarCruft APT grubu, Mark-of-the-Web (MOTW) güvenlik mekanizmasından kaçan yeni bulaşma yöntemleri geliştirdi. Bu tehdit aktörlerinin sürekli geliştirdiği taktikler, siber güvenlik uzmanları açısından yeni zorluklar ortaya koyuyor.

Jeopolitik etkiler APT faaliyetlerinin başlıca itici gücü olmaya devam ediyor

APT kampanyaları coğrafi olarak dağınık kalmaya devam ediyor. Saldırganlar saldırılarını Avrupa, Latin Amerika, Orta Doğu ve Asya’nın çeşitli bölgelerinde yoğunlaştırıyor. Sağlam bir jeopolitik zemine sahip olan siber casusluk, bu çabaların baskın bir gündemi olmaya devam ediyor.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Güvenlik Araştırmaları Lideri David Emm, şunları söylüyor: “Bazı tehdit aktörleri sosyal mühendislik gibi bilindik taktiklere bağlı kalırken, diğerleri evrim geçirerek araç setlerini yeniliyor ve faaliyetlerini genişletiyor. Dahası, ‘Operation Triangulation’ kampanyasının arkasındakiler gibi yeni ve gelişmiş aktörler sürekli olarak sahaya çıkıyor. Bu aktör, sıfır tıklamalı iMessage istismarları yoluyla dağıtılan, daha önce bilinmeyen bir iOS kötü amaçlı yazılım platformu kullanıyor. Bu koşullarda tehdit istihbaratı ve doğru savunma araçları eşliğinde tetikte olmak, küresel şirketler için çok önemli, Böylece kendilerini hem mevcut hem de yeni ortaya çıkan tehditlere karşı koruyabilirler. Üç aylık incelemelerimiz, siber güvenlik ekiplerinin ilgili risklerle mücadele etmesine ve bunları azaltmasına yardımcı olmak için APT grupları arasındaki en önemli gelişmeleri vurgulamak üzere tasarlandı.”

APT Q2 2023 trendleri raporunun tamamını okumak için lütfen Securelist’i ziyaret edin.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırılarının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• Sisteminizin güvenliğini sağlamak için işletim sisteminizi ve diğer üçüncü taraf yazılımlarını en son sürümlerine derhal güncelleyin. Olası güvenlik açıklarından ve güvenlik risklerinden korunmak için düzenli bir güncelleme programına sahip olmak önemlidir.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlerle mücadele edecek şekilde geliştirin.
• Tehdit aktörleri tarafından kullanılan gerçek TTP’lerle güncel kalmak için en son Tehdit İstihbaratı bilgilerini kullanın.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın.
• Özel hizmetler, yüksek profilli saldırılarla mücadeleye yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, izinsiz girişleri erken aşamalarında, failler hedeflerine ulaşmadan önce tespit etmeye ve durdurmaya yardımcı olabilir.  Bir saldırıyla karşılaşırsanız, Kaspersky Olay Müdahale hizmeti duruma müdahale ederek sonuçları en aza indirmenize, özellikle de güvenliği ihlal edilmiş düğümleri belirlemenize ve altyapıyı gelecekteki benzer saldırılardan korumanıza yardımcı olur.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky ikinci çeyreğin en son APT trendlerini açıkladı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Operasyonel Teknoloji (OT) ağ izolasyonunun olmaması

Olay incelemeleri sırasında Kaspersky uzmanları, Operasyonel Teknoloji (OT) ağını ayrı ve güvenli tutma konusunda sorunlar yaşandığına tanık oldu. Örneğin hem normal BT ağına hem de OT ağına bağlı mühendislik iş istasyonları gibi makineler var.  

Kaspersky Endüstriyel Kontrol Sistemleri Siber Acil Durum Müdahale Ekibi Başkanı Evgeny Goncharov, “OT ağının izolasyonunun yalnızca ağ ekipmanının yapılandırmasına bağlı olduğu durumlarda, deneyimli saldırganlar bu ekipmanı her zaman kendi avantajlarına göre yeniden yapılandırabiliyor. Örneğin kötü amaçlı yazılım trafiğini kontrol etmek için proxy sunucularına dönüştürülebilir veya izole edildiğine inanılan ağlara kötü amaçlı yazılım depolamak ve dağıtmak için kullanabilir. Bu tür kötü niyetli faaliyetlere birçok kez tanık olduk” dedi.

İnsan faktörü siber suç faaliyetlerinin itici gücü olmaya devam ediyor

Çalışanlara veya sözleşmelilere OT ağlarına erişim izni verirken, bilgi güvenliği önlemleri genellikle göz ardı ediliyor. Başlangıçta geçici olarak kurulan TeamViewer veya Anydesk gibi uzaktan yönetim araçları fark edilmeden aktif kalabiliyor. Ancak bu kanalların saldırganlar tarafından kolayca istismar edilebileceğini unutmamak önemli. Kaspersky, 2023 yılında bir sözleşmeli çalışanın birkaç yıl önce kendisine yasal olarak verilen ICS ağı uzaktan erişiminden yararlanarak sabotaj girişiminde bulunduğu bir olayı araştırdı.

Bu hikaye insan faktörünü göz önünde bulundurmanın önemini ortaya koyuyor. Zira potansiyel olarak mutsuz çalışanlar işe dair sorunlar, gelirden memnuniyetsizlik veya siyasi motivasyonlar nedeniyle siber suç eylemlerinde bulunabiliyor. Böyle bir durumda olası bir çözüm sıfır güven yaklaşımı olabilir. Bu sistem içindeki kullanıcıya, cihaza ve uygulamaya güvenilmediğini varsayan bir kavramdır. Diğer sıfır güven çözümlerinden farklı olarak Kaspersky, sıfır güven yaklaşımını KasperskyOS tabanlı çözümleriyle işletim sistemi seviyesine kadar genişletiyor.

OT varlıklarının yetersiz korunması

Olay analizi sırasında Kaspersky uzmanları, kötü amaçlı yazılımların yayılmasına katkıda bulunan eski güvenlik çözümü veritabanları, eksik lisans anahtarları, kullanıcı tarafından başlatılan anahtar kaldırma işlemleri, devre dışı bırakılmış güvenlik bileşenleri ve tarama ve korumaya dair istisnalar tespit etti. Örneğin veritabanlarınız güncel değilse ve bir güvenlik çözümü otomatik olarak güncellenemiyorsa, sofistike tehdit aktörlerinin tespit edilmekten kaçınmaya çalıştığı APT saldırılarında olduğu gibi gelişmiş tehditlerin hızlı ve kolay bir şekilde yayılmasına izin verebilir.

Güvenlik çözümlerinin güvensiz konfigürasyonları

Bir güvenlik çözümünün uygun şekilde yapılandırılması, APT grupları/aktörleri tarafından sıklıkla kullanılan bir taktik olan güvenlik çözümlerinin devre dışı bırakılmasını ve hatta kötüye kullanılmasını önlemek adına çok önemli. Aksi halde saldırganlar sistemin diğer bölümlerine girmek için güvenlik çözümünde depolanan ağ bilgilerini çalabilir veya profesyonel bilgi güvenliği dilini kullanarak yanal hareket gerçekleştirebilir.

Kaspersky ICS CERT, 2022’de APT taktiklerinde uygun yapılandırmaları daha da hayati hale getiren yeni bir eğilim fark etti. Örneğin saldırganlar yanal hareket etmenin yollarını ararken artık etki alanı denetleyicisi gibi kritik BT sistemlerini ele geçirmekle yetinmiyor. Bir sonraki hedefe, yani güvenlik çözümlerinin yönetim sunucularına yöneliyorlar. Hedefler kötü amaçlı yazılımı kontrol edilmeyecek programlar listesine koymaktan, virüslü ağdan tamamen ayrı olması gereken sistemlere bulaşmak için güvenlik sistemindeki araçları kullanmaya kadar değişebiliyor.

OT ağlarında siber güvenlik korumasının olmaması

İnanması zor olabilir ancak bazı OT ağlarında siber güvenlik çözümleri birçok uç noktaya hiç yüklenmiyor. OT ağı diğer ağlardan tamamen ayrılmış ve internete bağlı olmasa bile, saldırganların hala bu ağa erişim sağlama yolları olduğunu unutmamak gerekiyor. Örneğin USB’ler gibi çıkarılabilir sürücüler aracılığıyla dağıtılan kötü amaçlı yazılımların özel sürümlerini oluşturarak bu sistemlere sızma girişiminde bulunmak mümkün.

İş istasyonları ve sunucuların güvenlik güncellemelerine dair zorlukları

Endüstriyel kontrol sistemleri, iş istasyonları ve sunuculara güvenlik güncellemeleri yüklemek gibi basit görevlerin bile dikkatli bir şekilde test edilmesini gerektiren benzersiz bir çalışma şekline sahiptir. Bu test genellikle planlı bakım sırasında gerçekleşir ve güncellemelerin seyrek olmasına neden olur. Bu da tehdit aktörlerine bilinen zayıflıklardan faydalanmak ve saldırılarını gerçekleştirmek için bolca zaman verir.

Goncharov, şunları ekliyor: “Bazı durumlarda, sunucu işletim sisteminin güncellenmesi özel bir yazılımın (SCADA sunucusu gibi) güncellenmesini gerektirebilir. Bu da ekipmanın terfisini gerektirir ve bunların hepsi çok pahalı olabilir. Sonuç olarak endüstriyel kontrol sistemi ağlarında eski sistemler yer alıyor. Şaşırtıcı bir şekilde, endüstriyel işletmelerde güncellenmesi nispeten kolay olabilen internete dönük sistemler bile uzun süre savunmasız kalabiliyor. Bu durum gerçek dünyadaki saldırı senaryolarının da gösterdiği üzere, operasyonel teknolojiyi (OT) saldırılara ve ciddi risklere maruz bırakıyor.”

Kaspersky ICS CERT blogunda güvenlik çözümlerinin yapılandırması ve ayarları, OT ağ izolasyonu, sistemlerin korunması, eski işletim sistemi, uygulama yazılımı ve cihaz ürün yazılımı çalıştırmayla ilgili konular gibi daha fazla tavsiye bulabilirsiniz. 

Kaspersky uzmanları, kuruluşunuzu tehditlerden korumanız için şunları öneriyor:

• Kuruluşunuzun operasyonel teknolojisi (OT) veya kritik altyapısı varsa, kurumsal ağdan ayrıldığından veya en azından yetkisiz bağlantı olmadığından emin olun. 
• Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için OT sistemlerinde düzenli güvenlik denetimleri gerçekleştirin. 
• Sürekli zafiyet değerlendirmesi ve zafiyet yönetimi süreci oluşturun. 
• Teknolojik süreçleri ve ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için ICS ağ trafiği izleme, analiz ve tespit çözümlerini kullanın.
• Kurumsal uç noktaların yanı sıra endüstriyel uç noktaları da koruduğunuzdan emin olun. Kaspersky Industrial CyberSecurity çözümü, uç noktalar için özel koruma ve endüstriyel ağdaki şüpheli ve potansiyel olarak kötü amaçlı etkinlikleri ortaya çıkarmak için ağ izleme özellikleri içerir. 
• OT çözümlerindeki güvenlik açıklarıyla ilişkili riskleri daha gerçekçi bir şekilde anlamak ve bunları azaltma konusunda bilinçli kararlar almak için, teknik yeteneklerinize ve ihtiyaçlarınıza bağlı olarak okunabilir raporlar veya makine tarafından okunabilir veri akışı elde etmek amacıyla Kaspersky ICS Vulnerability Intelligence hizmetine erişmenizi öneririz. 
• BT güvenlik ekipleri ve OT mühendisleri için özel ICS güvenlik eğitimi, yeni ve gelişmiş kötü amaçlı tekniklere karşı müdahaleyi iyileştirmek için çok önemlidir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, endüstriyel sektörlerde APT saldırılarını tetikleyen en önemli faktörleri belirledi yazısı ilk önce En Gazete üzerinde ortaya çıktı.

‘Operation Triangulation’ olarak adlandırılan kampanya, iMessage aracılığıyla sıfır tıklama açıklarını dağıtarak cihaz ve kullanıcı verileri üzerinde tam kontrol elde eden kötü amaçlı yazılımları çalıştırıyor. Yazılımın nihai amacı kullanıcıları gizlice gözetlemek.

Kaspersky uzmanları, Kaspersky Birleşik İzleme ve Analiz Platformu’nu (Kaspersky Unified Monitoring and Analysis Platform – KUMA) kullanarak kurumsal Wi-Fi ağ trafiğini izlerken yeni bir mobil APT kampanyasını ortaya çıkardı. Kaspersky araştırmacıları, analizlerini derinleştirdiklerinde tehdit aktörünün düzinelerce şirket çalışanının iOS cihazlarını hedef aldığını keşfetti.

Saldırı tekniğine dair araştırılmalar halen devam etse de Kaspersky araştırmacıları şu ana kadar genel bulaşma sırasını belirlemeyi başardı. Kurbanlar, iMessage aracılığıyla tıklama gerektirmeyen (sıfır tıklamalı) bir açık içeren ekin bulunduğu bir mesaj alıyor. Mesaj başka herhangi bir etkileşim olmadan, ayrıcalık yükseltme için kod yürütülmesine yol açan ve virüslü cihaz üzerinde tam kontrol sağlayan bir güvenlik açığını tetikliyor. Saldırgan cihazdaki varlığını sağladıktan sonra mesaj otomatik olarak siliniyor.

Söz konusu casus yazılım, mikrofon kayıtları, anlık mesajlaşma programlarından gelen fotoğraflar, coğrafi konum ve virüslü cihazın sahibinin diğer faaliyeti hakkındaki veriler de dahil olmak üzere özel bilgileri sessizce uzaktaki sunuculara iletiyor.

Analiz sırasında tehdidin Kaspersky ürünleri, teknolojileri ve hizmetleri üzerinde herhangi bir etkisi olmadığı ve Kaspersky müşterilerinin kullanıcı verilerinin veya kritik şirket süreçlerinin etkilenmediği doğrulandı. Saldırganlar yalnızca virüs bulaşmış cihazlarda depolanan verilere erişebiliyor. Kesin olmamakla birlikte saldırının özellikle Kaspersky’yi hedef almadığına inanılıyor. Kaspersky sadece bunu ilk keşfeden oldu. İlerleyen günlerde söz konusu siber saldırının küresel çapta yayılma durumunun daha da netleşmesi bekleniyor.

Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) EEMEA Başkanı Igor Kuznetsov, şunları söyledi: “Siber güvenlik söz konusu olduğunda en güvenli işletim sistemleri bile tehlike altında kalabilir. APT aktörleri sürekli olarak taktiklerini geliştirdiklerinden ve istismar edecek yeni zafiyetler aradıklarından, işletmeler sistemlerinin güvenliğine öncelik vermelidir. Bu, çalışanların eğitimine ve farkındalığına öncelik vermeyi, onlara potansiyel tehditleri etkili bir şekilde tanımaları ve bunlara karşı savunma yapmaları için en son tehdit istihbaratını ve araçlarını sağlamayı da içerir. Triangulation operasyonuyla ilgili araştırmamız devam ediyor. Bu casusluk operasyonunun Kaspersky dışında da hedefleri olabileceğinden, yakında daha fazla ayrıntı paylaşılmasını bekliyoruz.”

“Operation Triangulation” hakkında daha fazla bilgiyi Securelist’da bulabilirsiniz. iOS cihazınıza virüs bulaşıp bulaşmadığını kontrol etmek için web sitesindeki talimatları izleyebilirsiniz.

Kaspersky araştırmacıları, bilinen veya bilinmeyen tehdit aktörlerinin hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Unified Monitoring and Analysis Platform (KUMA) gibi işletmeler için güvenilir bir güvenlik çözümü kullanın. 
• Microsoft Windows işletim sistemini ve diğer üçüncü taraf yazılımlarınızı mümkün olan en kısa sürede güncelleyin ve bunu düzenli olarak yapın.
• SOC ekibinize en yeni tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Threat Intelligence, şirketin tehdit istihbaratına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın süredir toplanan siber saldırı verilerini ve içgörüleri sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en son hedefli tehditlerle mücadele edecek şekilde geliştirin. 
• Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik beceriler kazandırın. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, iOS cihazlarını hedef alan yeni mobil APT kampanyasını ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.