ESET araştırmacıları, GopherWhisper adını verdikleri, daha önce kayıtlara geçmemiş, Çin ile bağlantılı bir APT grubu keşfettiler. Grup, çoğunlukla Go dilinde yazılmış ve enjektörler ile yükleyiciler kullanarak cephaneliğindeki çeşitli arka kapıları dağıtıp çalıştıran çok çeşitli araçlar kullanıyor. Gözlemlenen kampanyada, tehdit aktörleri Moğolistan’daki bir devlet kurumunu hedef aldı. GopherWhisper, komuta ve kontrol (C&C) iletişimi ve veri sızdırma amacıyla Discord, Slack, Microsoft 365 Outlook ve file.io gibi meşru hizmetleri kötüye kullanıyor.

ESET araştırmacıları  bu grubu Ocak 2025’te, Moğolistan’daki bir devlet kurumunun sisteminde daha önce belgelenmemiş bir arka kapı bulduğunda keşfetti  ve bu arka kapıya LaxGopher adını verdi. Daha derinlemesine araştırma yapan ekip, aynı grup tarafından dağıtılan, çoğunlukla çeşitli ek arka kapılar olmak üzere birkaç kötü amaçlı araç daha ortaya çıkardı. Bu araçların çoğu Go dilinde yazılmıştı ve ortak amaçları siber casusluktu.

ESET telemetrisine göre, GopherWhisper arka kapılarından etkilenen kurban bir Moğolistan devlet kurumu. Saldırganlar tarafından işletilen Discord ve Slack sunucularından gelen C&C trafiğini analiz eden ESET, Moğolistan kurumunun yanı sıra onlarca başka kurbanın da etkilendiğini tahmin ediyor; ancak bu kurbanların coğrafi konumları veya sektörleri hakkında herhangi bir bilgiye sahip değil. Keşfedilen yedi araçtan dördü arka kapı: Go dilinde yazılmış LaxGopher, RatGopher ve BoxOfFriends ile C++ dilinde yazılmış SSLORDoor. Ayrıca ESET, bir enjektör (JabGopher), Go tabanlı bir veri sızdırma aracı (CompactGopher) ve kötü amaçlı bir DLL dosyası (FriendDelivery) buldu.

ESET’in tespit ettiği kötü amaçlı yazılım grubu, bilinen hiçbir tehdit aktörünün araçlarıyla kod açısından benzerlik göstermediği ve başka hiçbir grubun kullandığı taktik, teknik ve prosedürler (TTP’ler) ile de örtüşmediğinden, ESET bu araçları yeni bir gruba atfediyor. Araştırmacılar, grubun araçlarının çoğunun maskotu bir gopher olan Go programlama dilinde yazılmış olması ve yan yükleme yoluyla yüklenen whisper.dll dosya adına dayanarak bu gruba GopherWhisper adını verdi.

Yeni tehdit grubunu keşfeden ESET araştırmacısı Eric Howard yaptığı açıklamada; “GopherWhisper, C&C iletişimi için Slack, Discord ve Outlook gibi meşru hizmetlerin yaygın olarak kullanılmasıyla karakterize edilir. Araştırmamız sırasında, binlerce Slack ve Discord mesajının yanı sıra Microsoft Outlook’tan birkaç taslak e-posta mesajını da elde etmeyi başardık. Bu, grubun iç işleyişi hakkında bize büyük bir fikir verdi. Slack ve Discord mesajlarının zaman damgası incelemesi, bunların çoğunun çalışma saatleri içinde, yani Çin Standart Saati ile uyumlu olarak sabah 8 ile akşam 5 arasında gönderildiğini gösterdi. Ayrıca Slack meta verilerinde yapılandırılmış kullanıcının yerel ayarı da bu saat dilimine ayarlanmıştı. Bu nedenle, GopherWhisper’ın Çin merkezli bir grup olduğuna inanıyoruz” dedi.

ESET’in bu araştırmasına göre, grubun Slack ve Discord sunucuları ilk olarak arka kapıların işlevselliğini test etmek, daha sonra ise günlükleri silinmeden, ele geçirilmiş birçok bilgisayarda LaxGopher ve RatGopher arka kapıları için komuta ve kontrol (C&C) sunucuları olarak kullanıldı. Slack ve Discord iletişimlerine ek olarak, ESET araştırmacıları, Microsoft Graph API’sini kullanarak BoxOfFriends arka kapısı ile C&C’si arasındaki iletişimde kullanılan e-posta mesajlarını da çıkarabildiler.

ESET Research’ten Eric Howard, bu bulguları Botconf 2026 konferansında sundu.

ESET yeni bir siber casusluk grubunu ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Casus yazılım kampanyası, kullanıcıların WhatsApp üzerinden sohbet başlatmasına olanak tanıyan bir sohbet platformu gibi görünen kötü amaçlı bir uygulama kullanıyor. Romantik maskesinin altında, ESET’in GhostChat adını verdiği kötü amaçlı uygulamanın asıl amacı, kurbanın verilerini ele geçirmek. Aynı tehdit aktörü, kurbanların bilgisayarlarının ele geçirilmesine yol açan ClickFix saldırısı ve kurbanların WhatsApp hesaplarına erişim sağlayan WhatsApp cihaz bağlama saldırısı da dâhil olmak üzere daha geniş bir casusluk operasyonu yürütüyor gibi görünüyor. Böylece gözetleme kapsamını genişletiyor. Bu bağlantılı saldırılar, Pakistan hükümet kuruluşlarını taklit eden web sitelerini yem olarak kullandı. Kurbanlar, GhostChat’i bilinmeyen kaynaklardan edinmiş ve manuel kurulum gerçekleştirmiş; bu uygulama Google Play’de yer almıyor ve varsayılan olarak etkinleştirilen Google Play Protect, bu uygulamaya karşı koruma sağlıyor.

Kampanyayı keşfeden ESET araştırmacısı Lukáš Štefanko, “Bu kampanya, benzer planlarda daha önce görmediğimiz bir aldatma yöntemi kullanıyor. GhostChat’teki sahte kadın profilleri, potansiyel kurbanlara kilitli olarak sunuluyor ve bunlara erişmek için şifreler gerekiyor. Ancak şifreler uygulamada sabit olarak kodlandığından bu sadece potansiyel kurbanlara özel erişim izlenimi yaratmayı amaçlayan bir sosyal mühendislik taktiği. Araştırmamız, Pakistan’daki kullanıcılara yönelik, son derece hedefli ve çok yönlü bir casusluk kampanyasını ortaya çıkardı” açıklamasını yaptı. 

Uygulama, meşru bir arkadaşlık uygulamasının simgesini kullanıyor ancak orijinal uygulamanın işlevselliğinden yoksun ve bunun yerine mobil cihazlarda casusluk yapmak için bir yem ve araç görevi görüyor. Giriş yaptıktan sonra, kurbanlara 14 kadın profili sunuluyor; her profil, Pakistan (+92) ülke koduna sahip belirli bir WhatsApp numarasına bağlı. Yerel numaraların kullanılması, profillerin Pakistan’da yaşayan gerçek kişiler olduğu yanılsamasını pekiştirerek dolandırıcılığın inandırıcılığını artırıyor. Doğru kodu girdikten sonra, uygulama kullanıcıyı WhatsApp’a yönlendirerek atanan numara ile bir sohbet başlatıyor – bu numara muhtemelen tehdit aktörü tarafından işletiliyor. 

Kurban uygulamayı kullanırken ve hatta oturum açmadan önce, GhostChat casus yazılımı arka planda çalışmaya başlar, cihazdaki etkinlikleri sessizce izler ve hassas verileri bir C&C sunucusuna aktarır. İlk veri aktarımının ötesinde, GhostChat aktif casusluk faaliyetlerinde bulunur: Yeni oluşturulan görüntüleri izlemek için bir içerik gözlemcisi kurar ve görüntüler ortaya çıktıkça bunları yükler. Ayrıca her beş dakikada bir yeni belgeleri tarayan periyodik bir görev planlayarak sürekli gözetim ve veri toplama sağlar.

Kampanya, ClickFix tabanlı kötü amaçlı yazılım dağıtımı ve WhatsApp hesap ele geçirme tekniklerini içeren daha geniş bir altyapıyla da bağlantılı. Bu operasyonlar, sahte web sitelerini, ulusal yetkililerin kimliğine bürünmeyi ve aldatıcı, QR kodu tabanlı cihaz bağlantılarını kullanarak hem masaüstü hem de mobil platformları tehlikeye atar. ClickFix, kullanıcıları görünüşte meşru talimatları izleyerek cihazlarında kötü amaçlı kodu manuel olarak çalıştırmaya yönlendiren bir sosyal mühendislik tekniği.

ClickFix saldırısı yoluyla masaüstü hedeflemenin yanı sıra WhatsApp kullanıcılarını hedefleyen mobil odaklı bir operasyonda kötü amaçlı bir etki alanı kullanıldı. Kurbanlar, Android cihazlarını veya iPhone’larını WhatsApp Web veya Desktop’a bağlamak için bir QR kodunu tarayarak Pakistan Savunma Bakanlığı’nın bir kanalı gibi görünen sözde bir topluluğa katılmaya ikna edildi. GhostPairing olarak bilinen bu teknik, saldırganların kurbanların sohbet geçmişine ve kişilerine erişim sağlamasına, hesap sahipleriyle aynı düzeyde görünürlük ve kontrol elde etmesine ve böylece özel iletişimlerini etkili bir şekilde tehlikeye atmasına olanak tanır.

Önü aşk arkası casusluk yazısı ilk önce En Gazete üzerinde ortaya çıktı.

İran İstihbarat ve Ulusal Güvenlik Bakanlığı ile bağlantılı bir siber casusluk grubu olan MuddyWater Mango Sandstorm veya TA450 olarak da biliniyor. Bu grup, genellikle özel kötü amaçlı yazılımlar ve halka açık araçlar kullanarak hükümet ve kritik altyapı sektörlerini hedef alıyor. ESET araştırmacıları, MuddyWater’ın öncelikli olarak İsrail’deki  teknoloji, mühendislik, imalat, yerel yönetim ve eğitim alanındaki  kuruluşları hedeflediğini, bir hedefinde Mısır’da olduğunu tespit etti. Bu kampanyada saldırganlar, savunma kaçakçılığını ve ısrarcılığı iyileştirmek amacıyla daha önce belgelenmemiş bir dizi özel araç kullanmıştır. Yeni arka kapı MuddyViper, saldırganların sistem bilgilerini toplamasına, dosyaları ve kabuk komutlarını çalıştırmasına, dosyaları aktarmasına ve Windows oturum açma kimlik bilgilerini ve tarayıcı verilerini sızdırmasına olanak tanır. Kampanya, ek kimlik bilgisi hırsızlarını da kullanır. Bu araçlar arasında, klasik Snake oyunu kılığına giren özel bir yükleyici olan Fooder de bulunmaktadır.

Bu kampanyada, ilk erişim genellikle spearphishing e-postaları yoluyla sağlanır. Bu e-postalar genellikle OneHub, Egnyte veya Mega gibi ücretsiz dosya paylaşım platformlarında barındırılan uzaktan izleme ve yönetim (RMM) yazılımlarının yükleyicilerine bağlantı içeren PDF ekleri içerir. Bu bağlantılar, Atera, Level, PDQ ve SimpleHelp gibi araçların indirilmesine yol açar. MuddyWater operatörleri tarafından kullanılan araçlar arasında, taklit ettiği meşru yazılımların adını taşıyan VAX One arka kapısı da bulunmaktadır: Veeam, AnyDesk, Xerox ve OneDrive güncelleme hizmeti. 

Grubun bu tanıdık taktiğe sürekli olarak güvenmesi, faaliyetlerinin tespit edilmesini ve engellenmesini nispeten kolaylaştırmaktadır. Ancak bu durumda grup, MuddyViper adlı yeni bir arka kapıyı dağıtmak için MuddyViper’ı belleğe yansıtıcı olarak yükleyen ve çalıştıran bir yükleyici (Fooder) kullanarak daha gelişmiş teknikler de kullanmıştır. Fooder’ın birkaç sürümü, klasik Snake oyunu gibi görünmektedir, bu nedenle MuddyViper olarak adlandırılmıştır. Fooder’ın bir başka dikkat çekici özelliği, Snake oyununun temel mantığını uygulayan özel bir gecikme işlevini “Sleep” API çağrılarıyla birlikte sık sık kullanmasıdır. Bu özellikler, otomatik analiz sistemlerinden kötü amaçlı davranışları gizlemek için yürütülmesini geciktirmek amacıyla tasarlanmıştır. Ayrıca MuddyWater geliştiricileri, İran ile bağlantılı gruplar için benzersiz ve daha geniş tehdit ortamında biraz alışılmadık olan Windows’un yeni nesil kriptografik API’si CNG’yi benimsemiştir. Bu kampanya sırasında operatörler, genellikle yanlış yazılmış komutlarla karakterize edilen, tarihsel olarak gürültülü bir teknik olan uygulamalı klavyeyle etkileşimli oturumlardan kasıtlı olarak kaçındılar. Bu nedenle, bazı bileşenler MuddyWater için tipik olduğu gibi gürültülü ve kolayca tespit edilebilir olsa da genel olarak bu kampanya teknik evrim belirtileri göstermektedir: Artan hassasiyet, stratejik hedefleme ve daha gelişmiş bir araç seti. 

Saldırı sonrası araç seti ayrıca birden fazla kimlik bilgisi hırsızı içerir: Chromium tabanlı tarayıcıları hedefleyen CE-Notes; çalınan kimlik bilgilerini sahneleyen ve doğrulayan LP-Notes; ve Chrome, Edge, Firefox ve Opera tarayıcılarından oturum açma verilerini çalan Blub.

MuddyWater, 2017 yılında Unit 42 tarafından ilk kez kamuoyuna tanıtıldı. Unit 42’nin grubun faaliyetlerine ilişkin açıklaması, ESET’in profil oluşturma çalışmasıyla tutarlıydı. Bu profilleme, siber casusluğa, kullanıcıları makroları etkinleştirmeye ve güvenlik kontrollerini atlamaya teşvik etmek için tasarlanmış ek olarak kötü amaçlı belgelerin kullanılmasına ve öncelikli olarak Orta Doğu’da bulunan kuruluşları hedef almaya odaklanıyordu.

Geçmişteki önemli faaliyetleri arasında, İsrail hükümet kurumlarını ve telekomünikasyon kuruluşlarını hedef alan siber casusluk kampanyası Operation Quicksand (2020) yer almaktadır. Bu kampanya, grubun temel kimlik avı taktiklerinden daha gelişmiş, çok aşamalı operasyonlara doğru evrimini göstermektedir. Ayrıca Türkiye’deki siyasi grupları ve kuruluşları hedef alan, grubun jeopolitik odak noktasını, sosyal mühendislik taktiklerini yerel bağlamlara uyarlama yeteneğini ve modüler kötü amaçlı yazılımlara ve esnek C&C altyapısına olan güvenini gösteren bir kampanya yer almaktadır.

ESET, MuddyWater’a atfedilen ve grubun gelişen araç setini ve değişen operasyonel odağını vurgulayan çok sayıda kampanyayı belgelemiştir. Mart ve Nisan 2023’te MuddyWater, Suudi Arabistan’da kimliği belirsiz bir kurbanı hedef aldı ve grup, Ocak ve Şubat 2025’te Lyceum (OilRig alt grubu) ile operasyonel olarak örtüşmesi ile dikkat çeken bir kampanya yürüttü. Bu iş birliği, MuddyWater’ın İran ile bağlantılı diğer gruplar için ilk erişim aracısı olarak hareket ediyor olabileceğini düşündürmektedir.

Görünüşte oyun gerçekte siber casusluk yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET araştırmacılarının bulgularına göre gerçek hayatta gerçekleşen saldırılar, Orta ve Güneydoğu Avrupa’da savunma sektöründe faaliyet gösteren üç şirketi arka arkaya hedef aldı. İlk erişim neredeyse kesin olarak sosyal mühendislik yoluyla sağlandı. Hedeflere yerleştirilen ana yük, saldırganlara ele geçirilen makine üzerinde tam kontrol sağlayan bir uzaktan erişim truva atı (RAT) olan ScoringMathTea idi. Saldırganların başlıca hedefinin, özel bilgiler ve üretim know-how’ının dışarıya sızdırılması olduğu düşünülüyor.

Operation DreamJob’da, sosyal mühendisliğin ana teması, kârlı ama sahte bir iş teklifi ve buna eşlik eden bir kötü amaçlı yazılım. Kurban, genellikle iş tanımı içeren bir yem belge ve bunu açmak için trojanize edilmiş bir PDF okuyucu alır. ESET Research, bu faaliyeti Operasyon DreamJob ile ilgili kampanyaları ve Avrupa’da bulunan hedef sektörlerin önceki Operasyon DreamJob örneklerindeki hedeflerle (havacılık, savunma, mühendislik) uyumlu olması nedeniyle Lazarus’a atfediyor. 

Hedef alınan üç kuruluş, farklı türde askeri teçhizat (veya bunların parçaları) üretiyor ve bunların çoğu, Avrupa ülkelerinin askeri yardımı sonucunda şu anda Ukrayna’da kullanılıyor. Operation DreamJob’un gözlemlenen faaliyetleri sırasında, Kuzey Koreli askerler Moskova’nın Kursk bölgesinde Ukrayna’nın saldırısını püskürtmesine yardım etmek için Rusya’ya konuşlandırılmıştı. Bu nedenle, Operation DreamJob’un şu anda Rusya-Ukrayna savaşında kullanılan bazı batı yapımı silah sistemleri hakkında hassas bilgiler toplamakla ilgilendiği mümkündür. Daha genel olarak, bu kuruluşlar Kuzey Kore’nin de yurt içinde ürettiği ve kendi tasarım ve süreçlerini mükemmelleştirmeyi umduğu türden malzemelerin üretiminde yer almaktadır. İHA ile ilgili bilgi birikimine olan ilgi dikkat çekici, zira bu, Pyongyang’ın yerli drone üretim kapasitelerine büyük yatırım yaptığına işaret eden son medya haberlerini yansıtıyor. Kuzey Kore, yerli İHA kapasitelerini geliştirmek için büyük ölçüde tersine mühendislik ve fikri mülkiyet hırsızlığına güvenmiştir. 

Son Lazarus saldırılarını keşfeden ve analiz eden ESET araştırmacısı Peter Kálnai ve Alexis Rapin şu açıklamayı yaptılar: “Operasyon DreamJob’un, en azından kısmen, İHA’larla ilgili özel bilgileri ve üretim know-how’ını çalmak amacıyla gerçekleştirildiğini düşünüyoruz. Dropper’lardan birinde gözlemlenen drone ifadesi, bu hipotezi önemli ölçüde desteklemektedir. Hedef alınan kuruluşlardan birinin, şu anda Ukrayna’da kullanılan ve Kuzey Kore’nin cephe hattında karşılaşmış olabileceği en az iki İHA modelinin üretiminde yer aldığına dair kanıtlar bulduk. Bu kuruluş, Pyongyang’ın aktif olarak geliştirmekte olduğu bir uçak türü olan gelişmiş tek motorlu insansız hava araçlarının tedarik zincirinde de yer almaktadır.“

Genel olarak, Lazarus saldırganları oldukça aktiftir ve arka kapılarını birden fazla hedefe karşı kullanırlar. Bu sık kullanım, bu araçları ortaya çıkarır ve tespit edilmesini sağlar. Buna karşı önlem olarak, grubun araçlarının yürütme zincirinde bir dizi dropper, yükleyici ve basit indirici yer alır. Saldırganlar, kötü amaçlı yükleme rutinlerini GitHub’da bulunan açık kaynaklı projelere dâhil etmeye karar verdiler.

Ana yük olan ScoringMathTea, yaklaşık 40 komutu destekleyen karmaşık bir RAT’tır. İlk ortaya çıkışı, Ekim 2022’de Portekiz ve Almanya’dan VirusTotal’a gönderilen başvurularla izlenebilir; burada dropper, Airbus temalı bir iş teklifi gibi görünerek kurbanları tuzağa düşürmüştür. Uygulanan işlevsellik, Lazarus’un genellikle gerektirdiği işlevselliklerle aynıdır: Dosya ve işlemlerin manipülasyonu, yapılandırmanın değiştirilmesi, kurbanın sistem bilgilerinin toplanması, TCP bağlantısının açılması ve yerel komutların veya C&C sunucusundan indirilen yeni yüklerin yürütülmesi. ESET telemetrisine göre, ScoringMathTea, Ocak 2023’te bir Hint teknoloji şirketine, Mart 2023’te bir Polonya savunma şirketine, Ekim 2023’te bir İngiliz endüstriyel otomasyon şirketine ve Eylül 2025’te bir İtalyan havacılık şirketine yönelik saldırılarda görülmüştür. Operation DreamJob kampanyalarının amiral gemisi yüklerinden biri olduğu görülmektedir.

Grubun en önemli gelişimi, DLL proxy’leri için tasarlanmış yeni kütüphanelerin tanıtılması ve daha iyi kaçınma için trojanize edilecek yeni açık kaynaklı projelerin seçilmesidir. Kálnai, “Yaklaşık üç yıldır Lazarus, tercih ettiği ana yükü olan ScoringMathTea’yi kullanarak ve açık kaynaklı uygulamaları trojanize etmek için benzer yöntemler uygulayarak tutarlı bir çalışma tarzını sürdürmüştür. Bu öngörülebilir ancak etkili strateji, grubun kimliğini gizlemek ve atıf sürecini belirsizleştirmek için yetersiz olsa da güvenlik tespitinden kaçmak için yeterli polimorfizm sağlar” diye aktardı.

HIDDEN COBRA olarak da bilinen Lazarus grubu en az 2009 yılından beri aktif olan ve Kuzey Kore ile bağlantılı bir APT grubudur. Yüksek profilli olaylardan sorumludur. Lazarus kampanyalarının çeşitliliği, sayısı ve uygulamadaki tuhaflığı bu grubu tanımlamaktadır. Ayrıca siber suç faaliyetlerinin üç temel unsurunu da yerine getirmektedir: Siber casusluk, siber sabotaj ve mali kazanç peşinde koşma.

Operasyon DreamJob, esas olarak sosyal mühendisliğe dayanan Lazarus kampanyalarının kod adıdır ve özellikle prestijli veya yüksek profilli pozisyonlar için sahte iş teklifleri kullanır (“hayalindeki iş” tuzağı). Hedefler ağırlıklı olarak havacılık ve savunma sektörlerindedir, ardından mühendislik ve teknoloji şirketleri ile medya ve eğlence sektörü gelir.

İş teklifi sahte casusluk gerçek yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Siber güvenlik şirketi ESET, üretim sektöründeki kurumları, bu alanda görev yapan BT ve güvenlik liderlerini artan tehditler konusunda uyararak siber güvenlik önlemlerinin nasıl güçlendirilebileceğine yönelik stratejik önerilerini paylaştı.

Siber  saldırılar giderek daha karmaşık, sofistike ve acımasız hâle geldi. Tehdit aktörleri genellikle teknik istismarları sosyal mühendislik ve kimlik bilgisi hırsızlığı ile birleştirir ve saldırıdan önce uzun süre tespit edilmeden kalarak istihbarat toplar ve sistemleri haritalandırır. Son yıllarda meydana gelen bir dizi yüksek profilli fidye yazılımı ihlali, risklerin yüksek olduğunu doğruluyor. Dijital şantajcılar, üretim sektörünü hedeflerine almış durumda. IBM tarafından paylaşılan verilere göre, üretim sektörü geçen yıl dünya çapında en çok hedef alınan sektör oldu. 

Eski teknolojiler,  endüstriyel kontrol sistemleri ve robotik gibi bağlı operasyonel teknolojiler birçok imalatçının saldırı yüzeyini genişletti. Halka açık uygulamalar, geçerli hesaplar ve harici uzaktan hizmetlerin istismar edilmesi, en yaygın ilk erişim vektörleri oldu. Sunucu erişimi (%16) ve kötü amaçlı yazılım-fidye yazılımı (%16) en sık gözlemlenen eylemlerdi, bu da saldırganların ana hedeflerinin operasyonel kesinti ve finansal şantaj olduğunu gösteriyor. Gasp, veri hırsızlığı, kimlik bilgisi hırsızlığı ve itibar kaybı, ihlal edilen üreticiler için en büyük etkilerdi.

Verizon, sektördeki doğrulanmış ihlallerin 2025 yılında yıllık yüzde 89 arttığını ve 1.000’den az çalışanı olan KOBİ’lerin ihlal edilen kuruluşların yüzde 90’ından fazlasını oluşturduğunu belirtiyor. İhlallerin beşte birinin casuslukla ilgili nedenlerden kaynaklandığını ortaya koyuyor; bu oran bir önceki yıl sadece %3 idi.  Hassas planlar, raporlar ve e-postalar en sık çalınan veri türü oldu ve bu da IP’ye yönelik riskin basit bir şantajın ötesine geçtiğini gösteriyor. Bununla birlikte, üretim sektöründeki ihlallerde kötü amaçlı yazılımların varlığı, fidye yazılımları ve en yaygın tehdit modeli olarak “Sistem İhlali”nin tercih edilmesi nedeniyle bu dönemde yüzde 50’den yüzde 66’ya yükselmiştir. Bu, hedeflerine ulaşmak için “kötü amaçlı yazılım veya hackleme”yi kullanan karmaşık saldırıları ifade ediyor.

ESET Research, WinRAR’da iş başvuru belgeleri kisvesi altında yaygın olarak kullanılan bir sıfırıncı gün güvenlik açığı keşfetti; silah hâline getirilmiş arşivler, hedeflerini ele geçirmek için yol geçişi kusurunu kullanıyordu. ESET tarafından tespit edilen son kampanya, üreticilerin yanı sıra diğer sektörlerdeki şirketleri de hedef alındığını ortaya koyuyor. Bu kampanya, fırsatçı kampanyalar ve casusluk faaliyetlerini birleştiren RomCom grubuna atfedilmiştir. WinRAR’daki sıfır gün güvenlik açığını kullanarak hassas bilgileri gizlice çalmış ve bu sektörü hedef alan bazı tehdit aktörlerinin sofistike olduğunu ortaya koymuştur. 

Siber güvenlik için atılması gereken adımlar 

İlk adım, çok faktörlü kimlik doğrulama (MFA), hızlı yama uygulama ve veri şifreleme gibi en iyi uygulamalarla dayanıklılık oluşturmak olmalıdır. Bu, ilk erişimi engellemenin ve mümkün olduğunda yanal hareketi önlemenin anahtarıdır. Ancak bu, sihirli bir çözüm değildir. Üreticiler ayrıca e-posta, bulut, sunucu, ağ ve diğer ortamlarında sürekli tespit ve müdahaleye yatırım yapmalıdır. Yeterli bütçeye sahip büyük bir işletmeyseniz bunu XDR araçlarıyla bir güvenlik operasyon merkezi (SOC) içinde çalışan şirket içi güvenlik operasyonları (SecOps) ekibi aracılığıyla yapabilirsiniz. Ancak çoğu işletme, özellikle 1.000’den az çalışanı olan ve saldırıya uğrayan üreticilerin yüzde 90’ı için daha mantıklı seçenek uzman bir yönetilen tespit ve müdahale (MDR) sağlayıcısına dış kaynak kullanımı olabilir. İyi seçilmiş bir MDR sağlayıcısı, bunları şirket içinde oluşturmaktan daha hızlı ve daha uygun maliyetli bir şekilde bir dizi yetenek sunabilir. Bunlar arasında şunlar yer alır:

• Uzman bir ekip tarafından 7/24/365 tehdit izleme,
• SOC personelini istihdam etmek ve sürdürmek için gereken yüksek sermaye ve işletme giderlerine kıyasla daha düşük maliyet,
• En sofistike tehditleri bulmak için uzman tehdit avcılığı,
• Finansal, itibar ve uyum risklerini en aza indirmek için tehditlerin hızlı tespiti, yanıtlanması ve kontrol altına alınması,
• Saldırıdan sonra bile kuruluşun üretime devam etmesini sağlayarak finansal ve operasyonel dayanıklılığın artırılması,
• Gelecekte benzer saldırılara karşı dayanıklılık oluşturmak için ortaya çıkan içgörüler.

7/24 kapsama, tehdit avcılığı ve adli tıp becerilerine sahip olgun bir SOC oluşturmak genellikle yıllar sürer ve önemli yatırımlar gerektirir, oysa MDR sağlayıcıları hızlı bir şekilde yerleşik bir yığın ve deneyimli bir ekip sunar. Şirket içi bir SOC’un CapEx/OpEx giderleri ve birleşik ortamları izlemek için gereken özel güvenlik uzmanlığı, özellikle KOBİ’ler için genellikle çok yüksektir. Ayrıca MDR kılavuzları, üretim için kritik bir ölçüt olan üretim kesinti süresini en aza indirgemeyi amaçlayan kontrol altına alma ve hızlı kurtarma işlemlerine vurgu yapar. Birçok üretici için MDR, operasyonel dayanıklılık için en hızlı ve en uygun maliyetli yolu sunar.

Üretim için saniyeler önemlidir

İster IP’nizi ister müşteri verilerinizi hedefliyor ister sadece şantaj amacıyla maksimum kesintiye neden olmak istiyor olsunlar, tehdit aktörleri saldırdığında onları bulmak ve kontrol altına almak için yarış başlar. MDR, olay müdahale planlarını uygulamaya koymak için ihtiyacınız olan erken uyarıyı sağlamak üzere bu süreci hızlandırabilir. Uç noktalar, ağ ve bulut ortamlarında sağladığı sürekli izleme ve farkındalık, siber güvenliğe yönelik en iyi uygulama olan Sıfır Güven yaklaşımıyla da mükemmel bir uyum içindedir. İnsan uzmanlığının en iyisi ile ileri teknolojiyi bir araya getiren MDR, sadece işletmeniz için değil, genişletilmiş tedarik zincirinizin güvenliğini sağlamak için de anahtar rol oynayabilir.

Siber casusluk ve fidye yazılımları üretimi felce uğratıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Whisper, bir Microsoft Exchange sunucusundaki güvenliği ihlal edilmiş bir webmail hesabında oturum açıyor ve bunu e-posta ekleri aracılığıyla saldırganlarla iletişim kurmak için kullanıyor. PrimeCache aynı zamanda bir arka kapı görevi de görüyor: Kötü niyetli bir IIS modülü. PrimeCache ayrıca OilRig Advanced Persistent Threat (APT) grubu tarafından kullanılan RDAT arka kapısıyla da benzerlikler taşıyor.

ESET, bu kod benzerliklerinin yanı sıra diğer kanıtlara dayanarak BladedFeline’ın Orta Doğu’daki hükümetler ve işletmelerin peşinde olan İran’a bağlı bir APT grubu olan OilRig’in büyük olasılıkla bir alt grubu olduğunu değerlendiriyor. Son kampanyadaki ilk implantlar OilRig’e kadar dayanıyor. Bu araçlar, grubun hedeflenen ağlar içinde kalıcılık ve gizliliğe yönelik stratejik odağını yansıtıyor. BladedFeline, Kürt diplomatik yetkililere yasa dışı erişimi sürdürmek için sürekli olarak çalışmış, aynı zamanda Özbekistan’daki bölgesel bir telekomünikasyon sağlayıcısını kullanmış ve Irak hükümetindeki yetkililere erişim geliştirmiş ve sürdürmüş. 

ESET Research, BladedFeline’ın siber casusluk amacıyla Irak Kürt Bölgesel Yönetimi  ve Irak hükümetlerini hedef aldığını; ve her iki kurumdaki üst düzey yetkililerin bilgisayarlarına stratejik erişim sağlamayı amaçladığını değerlendiriyor. Batılı ülkelerle olan diplomatik ilişkiler ve bölgedeki petrol rezervleri, İran’a bağlı tehdit aktörlerinin casusluk yapması ve potansiyel olarak manipüle etmesi için cazip bir hedef hâline getiriyor. Irak’ta bu tehdit aktörleri büyük olasılıkla ABD’nin ülkeyi işgali ve istilası sonrasında Batılı hükümetlerin etkisine karşı koymaya çalışmaktadır.

ESET Research, 2023 yılında BladedFeline’ın Shahmaran arka kapısı ile Kürt diplomatik yetkilileri hedef aldığını keşfetmiş ve daha önce ESET APT Activity raporlarında faaliyetlerini bildirmişti. Grup, Irak Kürt  Bölgesel Yönetimi’ndeki yetkilileri tehlikeye attığı 2017 yılından beri aktif ancak ESET Research’ün izlediği OilRig’in tek alt grubu değil. ESET, HEXANE veya Storm-0133 olarak da bilinen Lyceum’u başka bir OilRig alt grubu olarak izliyor. Lyceum, hükümet ve yerel yönetim kuruluşları ile sağlık alanındaki kuruluşlar da dahil olmak üzere çeşitli İsrail kuruluşlarını hedef almaya odaklanıyor.

ESET, BladedFeline’ın siber casusluk için tehlikeye atılmış kurban setine erişimi sürdürmek ve genişletmek amacıyla implant geliştirmeye devam edeceğini tahmin ediyor.

ESET yeni bir casusluk faaliyetini ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

MATA bulaşma zinciri, yükleyici, ana Truva atı ve kimlik hırsızlarını istismarlar, rootkitler ve hassas doğrulama süreçleriyle entegre eden karmaşık bir yapıya sahipti. Komuta ve Kontrol (C&C) sunucuları olarak kullanılan dahili IP adresleri, saldırganların kurbanların altyapısına kendi kontrol ve sızma sistemlerini yerleştirdiğini gösteren önemli bir keşfe karşılık geliyordu. Kaspersky, durumdan etkilenen kuruluşları derhal uyararak hızlı bir şekilde müdahale edilmesini sağladı.

Bir fabrikadaki kimlik avı e-postasıyla başlatılan saldırı, ağa sızarak ana şirketin etki alanı denetleyicisini tehlikeye attı. Saldırganlar daha sonra güvenlik sistemlerine müdahale etmek için güvenlik açıklarından ve rootkitlerden faydalanarak iş istasyonları ve sunucular üzerinde kontrol sahibi oldular. Özellikle güvenlik çözümü panellerine erişerek, bilgi toplamak ve kötü amaçlı yazılımları yan kuruluşlara ve kurumsal etki alanı altyapısına bağlı olmayan sistemlere dağıtmak için güvenlik açıklarından ve zayıf yapılandırmalardan yararlandılar.

Kaspersky ICS CERT Kıdemli Güvenlik Araştırmacısı Vyacheslav Kopeytsev, şunları söyledi: “Sanayi sektörünü hedefli saldırılardan korumak, sağlam siber güvenlik uygulamalarını proaktif bir zihniyetle birleştiren dikkatli bir yaklaşım gerektiriyor. Kaspersky’deki uzmanlarımız, yeni taktiklerini ve araçlarını tespit edebilmek için APT’nin gelişimini takip ediyor ve hareketlerini tahmin ediyor. Siber güvenlik araştırmalarına olan bağlılığımız, kurumlara sürekli gelişen siber tehditler hakkında kritik bilgiler sağlama taahhüdümüzden kaynaklanıyor. Konu hakkında bilgilendirilerek ve en son güvenlik önlemlerini uygulayarak, işletmeler bu gibi saldırganlara karşı savunmalarını güçlendirebilirler ve ağlarını ve sistemlerini koruyabilirler.”

Diğer kayda değer bulgular arasında şunlar yer alıyor:

• Üç yeni MATA Kötü Amaçlı Yazılım Nesli – 3, 4 ve 5: Bunlar gelişmiş uzaktan kontrol yetenekleri, modüler mimari ve esnek proxy sunucu zincirleri ile birlikte çeşitli protokoller için destek sundu. 
• Linux MATA Generation 3: Linux versiyonu, Windows muadili ile yeteneklerini paylaştı ve güvenlik çözümleri aracılığıyla sunuldu.
• USB Yayılma Modülü: Dış dünyayla bağlantısı olmayan ağlara sızmayı kolaylaştıran bu modül, özellikle hassas bilgiler içeren sistemlerde çıkarılabilir medya aracılığıyla veri aktarımı yapıyordu.
• Veri Hırsızları: Bunlar, ekran görüntüleri ve depolanan kimlik bilgileri gibi hassas bilgileri belirli koşullara göre özelleştirerek ele geçirmek için kullanıldı.
• EDR/Güvenlik Bypass Araçları: Saldırganlar, ayrıcalıklarını artırmak ve uç nokta güvenlik ürünlerini atlamak için genel istismarlardan yararlandı. Ayrıca, CVE-2021-40449 güvenlik açığı yamasının yüklü olduğu sistemlerde BYOD (Kendi Savunmasız Sürücünü Getir) tekniğini kullandı.
• En son MATA sürümleri, 5-eyes APT grupları tarafından kullanılanlara benzer teknikleri kullandı. Bu nedenle atıf sürecinde bazı sorular ortaya çıktı.

MATA’nın yeni kampanyası hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edin.

Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırısının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:

• SOC ekibinizin en yeni tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Threat Intelligence, şirketin tehdit istihbaratına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörüleri sağlar.
• GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimi ile siber güvenlik ekibinizi en son hedefli tehditlerle mücadele edecek şekilde geliştirin
• Etkili güvenlik açığı yönetimi sürecine temel olarak sürekli güvenlik açığı değerlendirmesi ve triyajının oluşturulmasında Kaspersky Industrial CyberSecurity gibi özel çözümler, etkili bir yardımcı olarak kamuya açık olmayan benzersiz eyleme geçirilebilir bilgi kaynağı haline gelebilir.
• Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini kullanın. 
• Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken aşamada tespit eden kurumsal nitelikte bir güvenlik çözümü uygulayın
• Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, ekibinize güvenlik farkındalığı eğitimi verin ve pratik becerilerini geliştirin. Örneğin, Kaspersky Otomatik Güvenlik Farkındalığı Platformu aracılığıyla bunu yapabilirsiniz.
• Ekibinizin, araçlarınızın ve süreçlerinizin tesisinizin atölye katında sofistike bir olay müdahalesine hazır olduğundan emin olmak için Kaspersky ICS CERT tarafından ICS’de Dijital Adli Tıp ve Olay Müdahalesi gibi özel eğitimler almanızı öneririz.

Kaspersky, 25-28 Ekim tarihleri arasında Tayland’ın Phuket şehrinde düzenlenecek olan Security Analyst Summit (SAS) 2023’te siber güvenliğin geleceğini derinlemesine inceleyecek.

Zirve, seçkin kötü amaçlı yazılımla mücadele araştırmacılarını, küresel kolluk kuvvetlerini, Bilgi İşlem Acil Durum Müdahale Ekiplerini ve dünyanın dört bir yanından finans, teknoloji, sağlık, akademi ve kamu sektörlerinden üst düzey liderleri bir araya getirecek.

Kaspersky hakkında

Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Kaspersky’nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya genelinde işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumak için sürekli olarak yenilikçi çözümlere ve hizmetlere dönüşmektedir. Şirketin kapsamlı güvenlik portföyü, gelişmiş ve gelişen dijital tehditlerle mücadele etmek için önde gelen uç nokta koruması, özel güvenlik ürünleri ve hizmetleri ile Siber Bağışıklık çözümlerini içeriyor. 400 milyondan fazla kullanıcı Kaspersky teknolojileri tarafından korunmaktadır ve şirket 220.000’den fazla kurumsal müşterinin kendileri için en önemli olanı korumalarına yardımcı oluyoruz. kaspersky.com adresinden daha fazla bilgi edinin.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, MATA Araç Setini Kullanan Siber Casusluk Kampanyalarının Gelişmiş Taktiklerini Ortaya Çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Dronlar, geleneksel bir saha dışı bilgisayar korsanının elde edemeyeceği veri kanallarına erişebildikleri için siber casusluğu yeni bir seviyeye taşıyabiliyor. Drone casusluğu tehdidi endişeleri en çok BT, üretim ve enerji alanlarındaki anket katılımcıları tarafından dile getiriliyor. Türkiye’deki çalışanların %62’si şirketlerini casusluktan korumak için drone tespit sistemleri kurmanın faydalı olacağını söylüyor.

Dronları tespit etmek, sınıflandırmak ve etkilerini hafifletmek için kullanılan sistemlere karşı drone teknolojisi adı veriliyor. Bu sistemler, drone faaliyetlerini izlemek ve analiz etmek için radarlar, radyo frekans analizörleri, kameralar, lidarlar, sinyal bozucular ve diğer sensörler dahil olmak üzere geniş bir sensör kombinasyonu kullanıyor.

Genel olarak çalışanların %61’i kendi sektörlerinde siber casusluktan korkuyor. Casuslukla ilgili en sık dile getirilen endişeler kurumların para (%32) ve fikri mülkiyeti (%21) kaybetmesine yol açabileceği ve ticari itibarına zarar verebileceği (%30) yönünde.

Bu noktada tehdit istihbaratı, eyleme geçirilebilir içgörüler ve proaktif önlemler sağlayarak siber casuslukla mücadelede çok önemli bir rol oynuyor. Bunlar keşif ve veri sızıntısı gibi casuslukla ilgili faaliyetlerin belirtilerini ortaya koymak için kurumsal BT sistemlerini sürekli izliyor ve tehdit aktörlerini tanımlıyor. Tehdit istihbaratı, siber güvenlik ekiplerinin casuslukla ilgili saldırıları gerçek zamanlı olarak tespit etmesini ve engellemesini sağlayan IP adreslerini, kötü amaçlı yazılım imzalarını ve davranış kalıplarını uzmanlara sunuyor.

Kaspersky Türkiye Genel Müdürü İlkem Özar, şunları söylüyor: “Araştırmamız, çoğu iş dünyası temsilcisinin siber casusluğun tehlikelerini anladığını gösteriyor.  Siber casuslar tarafından kullanılan taktikler, teknikler ve prosedürler hakkında bilgi edinmek, kuruluşların savunmalarını uyarlamalarına ve bu taktikleri etkili bir şekilde engellemek için karşı önlemler geliştirmelerine yardımcı oluyor. Siber casusluk genellikle kimlik avı, kötü amaçlı yazılımlar, açıkların istismarı ve hedefli saldırılar yoluyla gerçekleştirilir. Ancak günümüzde drone casusluğu tehdidini de dikkate almamız gerekiyor. Kaspersky olarak kurumlara hem geleneksel siber casusluk yöntemlerine hem de dronlardan gelebilecek casusluk gibi yeni yöntemlere karşı koyacak çözümler sunuyoruz. Kaspersky Threat Intelligence, kapsamlı ve pratik raporlama ile kurumların yüksek profilli siber casusluk kampanyalarına ilişkin farkındalıklarını ve bilgilerini artırmalarına yardımcı oluyor. Kaspersky Antidrone ise drone ile ilgili tüm bilgileri tek bir web arayüzünde toplayarak havadaki istenmeyen nesneleri tespit ediyor, sınıflandırıyor ve etkilerini azaltıyor. Çözüm, kontrol edilen bölgenin hava sahasını otomatik modda izlemeye olanak tanıyor.”

Kaspersky, casusluktan korunmak için kurumlara şunları öneriyor

• Tüm kurumsal BT sistemlerindeki yazılım ve sürücüleri güncelleyin
• Kaspersky Threat Intelligence ile şirketin dijital sistemlerinin karşı karşıya olduğu riskleri değerlendirin
• Hedefli kimlik avı saldırıları olasılığını en aza indirmek için çalışanlarınızı eğitin. Kaspersky Automated Security Awareness Platform, çalışanlara sosyal mühendislik saldırı girişimlerine karşı koymak için gerekli bilgileri sağlayacaktır
• Karmaşık ve hedefli saldırılara karşı kapsamlı koruma için, gelişmiş tehdit istihbaratıyla desteklenen ve MITRE ATT&CK çerçevesiyle eşleştirilen Kaspersky Anti Targeted Attack (KATA) Platformu gibi kapsamlı bir siber güvenlik çözümü kullanın
• Profesyonellerden oluşan bir ekipten ek koruma ve uzmanlık almak için siber güvenlik denetiminde Kaspersky MDR ile dış kaynak kullanın 
• Havadan casusluk tehdidine karşı koymak için Kaspersky Antidrone kullanın

Kaspersky hakkında

Kaspersky, 1997 yılında kurulmuş küresel bir siber güvenlik ve dijital gizlilik şirketidir. Kaspersky’nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya genelinde işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumak için sürekli olarak yenilikçi çözümlere ve hizmetlere dönüşmektedir. Şirketin kapsamlı güvenlik portföyü, gelişmiş ve gelişen dijital tehditlerle mücadele etmek için önde gelen uç nokta koruması, özel güvenlik ürünleri ve hizmetleri ile Siber Bağışıklık çözümlerini içeriyor. 400 milyondan fazla kullanıcı Kaspersky teknolojileri tarafından korunmaktadır ve şirket 220.000’den fazla kurumsal müşterinin kendileri için en önemli olanı korumalarına yardımcı oluyoruz. kaspersky.com adresinden daha fazla bilgi edinin.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Türkiye’deki Çalışanların %48’i İnsansız Hava Araçlarının Casusluk Yapmasından Korkuyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Kuzey Kore bağlantılı Lazarus grubu operatörleri, geçtiğimiz yıl Facebook, Instagram ve WhatsApp platformlarının sahibi olan Meta için bir işe alım uzmanını taklit ederek giriştikleri başarılı bir kimlik avı (spear phishing) saldırısının  sonrasında firmanın ağına erişim sağladı. Saldırının nihai hedefi ise siber casusluk olarak kayıt altına alındı.

Sahte işe alım uzmanı, kurban ile LinkedIn profesyonel sosyal ağ platformunun sağladığı bir özellik olan LinkedIn Messaging üzerinden iletişime geçti. Kurbana işe alım sürecinin bir parçası olarak gerekli olduğu söylenen iki kodlama testi gönderdi. ESET Research, etkilenen havacılık-uzay şirketiyle yapılan işbirliği sayesinde ilk erişim adımlarını yeniden oluşturarak Lazarus tarafından kullanılan araç setini analiz edebildi. Grup birden fazla şirket çalışanını hedef aldı.

Lazarus, kurbanların sistemlerine birden çok veri yükü gönderdi. Bunlardan en önemlisi, daha önceden kayıt altına alınmamış olan ve LightlessCan adı verilen karmaşık bir uzaktan erişim truva atı (RAT). Truva atı, çok çeşitli yerel Windows komutlarının işlevlerini taklit eder ve genellikle gürültülü konsol yürütmeleri yerine RAT’ın kendi içinde gizli olan yürütmeye ile saldırganlar tarafından kötüye kullanılır. Bu stratejik değişiklik, gizlilik özelliğini geliştirerek saldırganın faaliyetlerini tespit etmeyi ve analiz etmeyi daha zorlu hale getiriyor.

Saldırıyı açığa çıkaran ESET araştırmacısı Peter Kálnai şunları söyledi, “Bu saldırının en endişe verici tarafı; tasarımı ve işleyişinde üst düzey gelişmişlik sergileyen, öncülü BlindingCan ile karşılaştırıldığında kötü amaçlı yeteneklerde önemli bir ilerleme sağladığı görülen, karmaşık ve muhtemelen kendini geliştiren bir araç olan yeni veri yükü türü LightlessCan olarak dikkat çekiyor.” 

HIDDEN COBRA olarak da bilinen Kuzey Kore bağlantılı siber casusluk grubu Lazarus’un 2009 yılından beri aktif olduğu düşünülüyor.  Lazarus casusluk, sabotaj ve finansal kazanç elde etme arzusu olmak üzere siber suç etkinliklerinin üç temel özelliğine de sahip. Havacılık-uzay firmaları, Kuzey Kore bağlantılı APT grupları için alışıldık hedefler olarak tanımlanıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Siber Casusluk Sınır Tanımıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

ESET araştırmacıları, Stealth Falcon grubu tarafından kullanılan ve ESET tarafından Deadglyph olarak adlandırılan karmaşık bir arka kapıyı keşfederek analiz etti. ABD’nin kâr amacı gütmeyen güvenlik kuruluşu MITRE’ye göre grup Birleşik Arap Emirlikleri ile bağlantılı. Deadglyph alışılmadık bir mimariye sahip ve arka kapı yetenekleri, Komuta ve Kontrol tarafından ek modüllerden oluşuyor. Deadglyph’in bir dizi karşı tespit mekanizması var ve belirli durumlarda tespit edilme riskini azaltmak için kendi kendini kaldırma yeteneğine de sahip. 

ESET araştırmacıları bu keşfi, bazıları Orta Doğu bölgesinde bulunan yüksek profilli müşterilerin sistemlerindeki şüpheli etkinlikleri rutin olarak izlerken gerçekleştirdi. Analiz edilen sızma eyleminin kurbanı, Orta Doğu’da casusluk amacıyla güvenlik ihlaline uğrayan bir devlet kurumu. VirusTotal’de bulunan ilgili bir örnek de Katar’dan yüklendi.

ESET bu arka kapının adını, arka kapıda bulunan yapılardan ve bir homoglif saldırısının varlığından esinlenerek verdi. Homoglif, güvenilir bir dizi gibi görünen yanıltıcı bir karakter dizisidir. Bu arka kapı, Microsoft Corporation’ı taklit ediyordu. Daha önce belgelenmemiş olan bu arka kapı, büyük ölçüde karmaşık ve adeta bir uzmanlık eseri olarak tanımlanıyor. Geleneksel arka kapı komutları, arka kapı ikili dosyasında uygulanmaz; bunun yerine, Komuta ve Kontrol sunucusundan ek modüller biçiminde dinamik olarak alınırlar. Bu arka kapı aynı zamanda sistem süreçlerinin sürekli izlenmesi ve rastgele ağ modellerinin uygulanması da dahil olmak üzere tespit edilmekten kaçınmak için bir dizi yeteneğe de sahip.

ESET Research, Deadglyph’in tüm özelliklerinin yalnızca bir kısmını ortaya çıkararak bu modüllerden üçünü almayı başardı: Süreç oluşturucu, dosya okuyucu ve bilgi toplayıcı. Bilgi toplama modülü, işletim sistemi, yüklü yazılım ve sürücüler, işlemler, hizmetler, kullanıcılar ve güvenlik yazılımı hakkındaki ayrıntılar da dahil olmak üzere bilgisayar hakkında kapsamlı bilgileri toplar. Ayrıca dosya okuyucu modülü belirtilen dosyaları okuyabilir. Bir vakada modül, kurbanın Outlook veri dosyasını almak için kullanılmıştır.

ESET Research aynı zamanda Deadglyph’i yüklemek için kullanılabilecek ilgili bir kabuk kodu indiricisi buldu. Hedefleme ve ek kanıtlara dayanarak ESET, yüksek olasılıkla Deadglyph’i Stealth Falcon APT grubuyla ilişkilendiriyor. Project Raven veya FruityArmor olarak da bilinen bu tehdit grubunun MITRE’ye göre Birleşik Arap Emirlikleri ile bağlantısı bulunuyor. 2012’den bu yana aktif olan Stealth Falcon’un Orta Doğu’daki siyasi aktivistleri, gazetecileri ve muhalifleri hedef aldığı biliniyor. İlk olarak 2016 yılında bir casus yazılım saldırısının analizini yayınlayan Citizen Lab tarafından keşfedildi ve tanımlandı.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Siber Dünyada Casusluk Faaliyetleri Hız Kesmiyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

2014’ten beri aktif olduğu belirtilen grup, Belarus’taki Avrupalılar dahil olmak üzere yalnızca yabancı büyük elçilikleri hedefliyor. 2020’den beri MoustachedBouncer, hedeflerine saldırmak için Belarus’ta ISP seviyesinde ortadaki düşman (AitM) saldırılarını gerçekleştirebiliyor. Grup, ESET’in NightClub ve Disco olarak adlandırdığı iki ayrı araç seti kullanıyor. 

ESET telemetrisine göre, grup Belarus’taki yabancı büyükelçilikleri hedef alıyor. İkisi Avrupa, biri Güney Asya ve biri Afrika’da olmak üzere elçilik personelinin hedef alındığı dört ülke belirlendi. ESET, MoustachedBouncer’ın ve büyük olasılıkla Belarus’un çıkarlarının ortak olduğunu, özellikle Belarus’taki yabancı büyükelçiliklere karşı casusluk konusunda uzmanlaştığını belirtiyor. MoustachedBouncer, Disco implantı için ISP düzeyinde ağ müdahalesi, NightClub implantı için e-postalar ve NightClub eklentilerinden birinde DNS dahil olmak üzere Komuta ve Kontrol (C&C) iletişimleri için gelişmiş teknikler kullanıyor.

Seçilmiş hedeflere yönelik kullanılıyor

ESET Research, MoustachedBouncer’ı ayrı bir grup olarak takip ederken; grubun 2023 yılında Polonya ve Ukrayna dahil olmak üzere birçok Avrupa ülkesinin hükumet personelini hedef alan başka bir aktif casusluk grubu olan Winter Vivern ile işbirliği yaptığına dair -ESET tarafından zayıf olarak değerlendirilen- unsurlar bulundu. MoustachedBouncer operatörleri, hedeflerini tehlikeye atmak için kurbanlarının internet erişimine muhtemelen ISP seviyesinde müdahale ederek Windows’u bir tutsak portalın arkasında olduğuna inandırıyor. Yeni tehdit grubunu keşfeden ESET araştırmacısı Matthieu Faou, “MoustachedBouncer tarafından hedeflenen IP aralıkları için, ağ trafiği görünüşte meşru ancak sahte bir Windows Update sayfasına yönlendiriliyor,” dedi. “Bu ortadaki düşman tekniği, tüm ülke genelinde değil ama belki de sadece büyükelçilikler gibi seçilmiş bazı kuruluşlara karşı kullanılıyor. Ortadaki düşman senaryosu, bize ISP seviyesinde yazılım indirenlere, indirme sırasında truva atı gönderen tehdit grubu olan Turla ve StrongPity’yi hatırlatıyor.”

Ses kaydı, ekran görüntüsü alabiliyor, ekran tuşlarını kaydedebiliyor

ESET Araştırmacısı, “Elçilik ağlarına ortadaki düşman (AitM) saldırıları gerçekleştirmek için yönlendiricilerin ele geçirilmesi ihtimali göz ardı edilemezken, Belarus’ta yasal dinleme unsurlarının varlığı, trafiğin hedeflerin yönlendiricileri yerine ISP düzeyinde gerçekleştiğini gösteriyor,” şeklinde durumu açıkladı. 

2014’ten bu yana MoustachedBouncer tarafından kullanılan kötü amaçlı yazılım ailesi gelişti ve 2020’de grubun ortadaki düşman saldırılarını kullanmaya başlamasıyla büyük bir değişiklik oldu. MoustachedBouncer, iki implant ailesini paralel olarak çalıştırıyor ancak belirli bir makinede aynı anda yalnızca bir tanesi yerleştiriliyor. ESET, Disco’nun AitM saldırılarıyla bağlantılı olarak kullanıldığına inanırken NightClub, internet trafiğinin Belarus’un dışına yönlendirildiği uçtan uca şifreli bir VPN kullanımı gibi bir azaltma nedeniyle ISP düzeyinde trafik müdahalesinin mümkün olmadığı kurbanlar için kullanılır.

Faou, “Buradan alınması gereken mesaj, İnternetin güvenilir olmadığı yabancı ülkelerdeki kuruluşların, herhangi bir ağ inceleme cihazını atlatmak için tüm İnternet trafiklerinde güvenilir bir konuma yönlendiren uçtan uca şifreli bir VPN tüneli kullanmaları gerektiğidir. Aynı zamanda yüksek kaliteli, güncel bilgisayar güvenliği yazılımı kullanmaları da gerekir.” dedi.

NightClub implantı, verileri sızdırmak için Çek web posta hizmeti Seznam.cz ve Rus Mail.ru web posta sağlayıcısı gibi ücretsiz e-posta hizmetlerini kullanıyor. ESET, saldırganların yasal e-posta hesaplarını tehlikeye atmak yerine kendi e-posta hesaplarını oluşturduklarına inanıyor.  Tehdit grubu, dosyaları çalmaya ve harici olanlar da dahil sürücüleri izlemeye odaklanıyor. NightClub implantının yapabildikleri arasında ses kaydı, ekran görüntüsü alma ve klavye tuş vuruşlarını kaydetmek yer alıyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Casusluk grubunun hedefi diplomatlar yazısı ilk önce En Gazete üzerinde ortaya çıktı.