2020, hiçbir şeyin eskisi gibi olmadığı ama hayatın da devam ettiği bir yıl oldu. Aynı şey, siber saldırganlar ve gelişmiş kalıcı tehdit (APT) aktörleri için de geçerli. COVID-19 pandemisi bu tür gruplar ve saldırganlar tarafından ufak veya büyük çaplı pek çok aktivite için tuzak olarak kullanıldı. Kaspersky araştırmacıları yeni platformları hedeflerine almaktan yeni araçlardan yararlanarak savunmasız kurbanları hedef almaya kadar, APT faaliyetlerinin pek çok cephede gelişimini sürdürdüğünü gördü. Bunlar ve dünya genelindeki diğer APT eğilimleri Kaspersky’nin en yeni üç aylık tehdit istihbaratı özetinde ele alındı.
Son üç aylık APT eğilimleri özeti, Kaspersky’nin özel tehdit istihbaratı araştırmalarının yanı sıra başka kaynaklardan toplanan bilgileri de içeriyor. Özette araştırmacıların herkesin bilmesi gerektiğine inandığı önemli gelişmeler yer alıyor.
Kaspersky araştırmacılarının 2020’nin ilk yarısında elde ettiği bulgular, APT gruplarının tüm dünyada gelişim içinde olduğunu gösteriyor. En fazla dikkat çeken değişimler, şu gruplar tarafından uygulandı:
- Son birkaç yıldır en çok öne çıkan tehdit gruplarından biri olan Lazarus grubu, finansal kazanımlar elde edebilmek için artık çok daha fazla yatırım yapıyor. Siber casusluk ve siber sabotaj gibi amaçlarının yanı sıra bu tehdit aktörü grup, tüm dünya çapında bankalar ve diğer bazı finans kurumlarını hedef aldı. Kaspersky araştırmacıları bu çeyrekte ayrıca Lazarus’un kötücül yazılımlarını yaymak için, siber suç ekosisteminde pek görülmeyen bir yöntem kullandığını; çok platformlu bir arayüz olan ve MATA olarak adlandırılan kendi fidye yazılımını geliştirip kullandığını da gözlemledi. Lazarus, daha önce, kötü şöhretiyle hatırlanan WannaCry saldırısıyla ilişkilendirilmişti.
- CactusPete adlı Çinli grup, son dönemde yaygın olarak çeşitli işlevler için eklentiler içeren, karmaşık ve modüler bir saldırı platformu olan ShadowPad’i kullanıyor. ShadowPad, daha önce farklı saldırı vakalarında kullanılan farklı bir eklenti alt kümesiyle, bir dizi büyük siber saldırıda kullanıldı.
- MuddyWater APT grubu, 2017’de keşfedildi ve o zamandan beri Orta Doğu’da aktif olarak varlığını sürdürüyor. 2019 yılında Kaspersky araştırmacıları, Orta Doğu’daki bazı telekomünikasyon şirketleri ve hükümet kurumlarını hedefine alan saldırı faaliyetlerini bildirmişti. Kaspersky kısa süre önce ise MuddyWater’ın, yatay hareket için kullandığı ve Secure Socket Funneling adı verilen açık kaynaklı bir yardımcı programdan yararlandığı yeni bir saldırı dalgasında yepyeni bir C ++ programı kullandığını keşfetti.
- HoneyMyte APT, bir Güneydoğu Asya ülkesi hükümetinin web sitesine yönelik olarak “Watering hole” saldırısı gerçekleştirdi. Mart ayına gerçekleştirilen bu saldırı tekniğiyle siber saldırganlar, hedeflerinde olan kuruma zarar verebilmek için beyaz liste (whitelisting) ve sosyal mühendislik tekniklerinden yararlandı. Burada tehdit aktörleri, kurbanı basit bir ZIP arşiv dosyası indirerek bir Cobalt Strike yazılımı yürütmeye teşvik eden “readme” dosyası kullandı. Cobalt Strike’ı çalıştırmak için kullanılan mekanizma, bir Cobalt Strike stager kodunun şifresini çözen ve yürüten DLL yan yüklemesiydi.
- Gelişmiş PhantomLance mobil saldırılarının arkasındaki tehdit aktörü olan OceanLotus, 2019’un ikinci yarısından bu yana çok aşamalı yükleyicisinin farklı ve yeni türlerini kullanıyor. Yeni türler, nihai implantlarının doğru kurbana yerleştirilmesini sağlamak için hedef bilgisayarlardan önceden ele geçirilen bilgileri (kullanıcı adı, ana bilgisayar adı vb.) kullanıyor. Grup, arka kapı implantının yanı sıra Cobalt Strike Beacon’ı da güncelleştirilmiş bir altyapı ile kullanmaya devam ediyor.
Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Vincente Diaz, “Tehdit ortamı her zaman ‘çığır açıcı’ olaylarla dolu değil ama siber suçluların faaliyetlerinde son birkaç aydır da azalma kesinlikle yaşanmadı. Tehdit aktörlerinin araç setlerinde iyileştirmeler yapmaya, saldırı vektörlerini çeşitlendirmeye ve hatta yeni hedef türlerine geçmeye devam ettiklerini görüyoruz. Örneğin, mobil implantların kullanımı artık yeni bir olgu değil. Gördüğümüz bir diğer eğilim ise BlueNoroff ve Lazarus gibi bazı APT gruplarının finansal kazanca doğru ilerliyor olması. Yine de jeopolitik, birçok tehdit aktörü için de önemli bir motivasyon kaynağı olmaya devam ediyor. Tüm bu gelişmeler yalnızca tehdit ortamı istihbaratına yatırım yapılmasının önemini vurguluyor. Siber suçlular zaten başarıya ulaştıkları zaman durmuyor, sürekli olarak yeni TTP’ler geliştiriyorlar. Dolayısıyla kendilerini ve kurumlarını saldırılara karşı korumak isteyenler de öyle hareket etmek durumunda.” dedi.
Birinci yarıyıl APT eğilimleri raporu Kaspersky’nin yalnızca abonelerine sunduğu tehdit istihbaratı raporlarının bir özetini sunuyor. Raporda ayrıca araştırmalara ve zararlı yazılım avına yardımcı olacak Sızma Belirtileri (IOC) verileri ve YARA kuralları yer alıyor.
Kaspersky araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:
- Güvenlik merkezi ekiplerinizin en yeni tehdit istihbaratı verilerine ulaşmasını sağlayın. Kaspersky Threat Intelligence Portal, kurumun tehdit istihbaratı için sunulan bir hizmettir ve Kaspersky’nin 20 yıldan uzun zamandır topladığı siber saldırı verileri ve güncel bilgilere ulaşımı mümkün kılar.
- Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için bir uç nokta tespit ve müdahale çözümü kullanın.
- Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden kurumsal sınıf bir güvenlik çözümü kullanın.
- Çoğu hedefli saldırı kimlik avı veya diğer bir sosyal mühendislik yöntemiyle başladığından, bir hizmet üzerinden güvenlik farkındalığı eğitimleri verin ve pratik becerileri öğretin.