Kaspersky’nin 2023’ün ikinci çeyreğine yönelik Gelişmiş Kalıcı Tehdit (APT) trendleri hakkındaki son raporunda araştırmacılar, yeni ve mevcut kampanyaların gelişimini masaya yatırdı. Rapor güncellenen araç setleri, yeni kötü amaçlı yazılım varyantlarının oluşturulması ve tehdit aktörleri tarafından yeni tekniklerin benimsenmesi dahil olmak üzere yeni dönemdeki APT faaliyetlerine ışık tutuyor.
iOS için daha önce keşfedilmemiş kötü amaçlı yazılım platformunun kullanımını da içeren ve uzun süredir devam eden “Operation Triangulation” kampanyasının açığa çıkması bu dönemin önemli gelişmelerinden biri oldu. Uzmanlar ayrıca herkesin farkında olması gerektiğine inandıkları başka ilginç gelişmeler de yeni raporda paylaştılar.
Raporda öne çıkan önemli noktalar şöyle:
Asya-Pasifik yeni bir tehdit aktörüyle tanışıyor- Mysterious Elephant
Kaspersky, Asya-Pasifik bölgesinde faaliyet gösteren ve “Mysterious Elephant” (Gizemli Fil) olarak adlandırılan yeni bir tehdit aktörü ortaya çıkardı. Söz konusu tehdit aktörü son kampanyalarında kurbanın bilgisayarında dosya ve komut yürütebilen ve virüslü sistemde yürütülmek üzere uzak sunucudan dosya veya komut alabilen yeni arka kapı aileleri kullandı. Kaspersky araştırmacıları yazılımın Confucius ve SideWinder ile benzerliklerini gözlemlemiş olsa da, Mysterious Elephant kendisini diğerlerinden ayıran farklı ve benzersiz bir TTP setine sahip.
Lazarus yeni zararlı yazılım varyantı geliştirdi, BlueNoroff macOS’a saldırdı
Tehdit aktörleri, Lazarus’un MATA çerçevesini yükseltmesi ve MATA kötü amaçlı yazılım ailesinin yeni bir varyantı olan MATAv5’i tanıtmasıyla tekniklerini sürekli olarak geliştirdiğini gösteriyor. Lazarus’un finansal saldırı odaklı bir alt grubu olan BlueNoroff, son kampanyalarda Truva atı bulaşmış PDF okuyucuların kullanımı, macOS kötü amaçlı yazılımlarının uygulanması ve Rust programlama dili de dahil olmak üzere yeni dağıtım yöntemleri ve programlama dilleri kullanıyor. Ayrıca ScarCruft APT grubu, Mark-of-the-Web (MOTW) güvenlik mekanizmasından kaçan yeni bulaşma yöntemleri geliştirdi. Bu tehdit aktörlerinin sürekli geliştirdiği taktikler, siber güvenlik uzmanları açısından yeni zorluklar ortaya koyuyor.
Jeopolitik etkiler APT faaliyetlerinin başlıca itici gücü olmaya devam ediyor
APT kampanyaları coğrafi olarak dağınık kalmaya devam ediyor. Saldırganlar saldırılarını Avrupa, Latin Amerika, Orta Doğu ve Asya’nın çeşitli bölgelerinde yoğunlaştırıyor. Sağlam bir jeopolitik zemine sahip olan siber casusluk, bu çabaların baskın bir gündemi olmaya devam ediyor.
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) Güvenlik Araştırmaları Lideri David Emm, şunları söylüyor: “Bazı tehdit aktörleri sosyal mühendislik gibi bilindik taktiklere bağlı kalırken, diğerleri evrim geçirerek araç setlerini yeniliyor ve faaliyetlerini genişletiyor. Dahası, ‘Operation Triangulation’ kampanyasının arkasındakiler gibi yeni ve gelişmiş aktörler sürekli olarak sahaya çıkıyor. Bu aktör, sıfır tıklamalı iMessage istismarları yoluyla dağıtılan, daha önce bilinmeyen bir iOS kötü amaçlı yazılım platformu kullanıyor. Bu koşullarda tehdit istihbaratı ve doğru savunma araçları eşliğinde tetikte olmak, küresel şirketler için çok önemli, Böylece kendilerini hem mevcut hem de yeni ortaya çıkan tehditlere karşı koruyabilirler. Üç aylık incelemelerimiz, siber güvenlik ekiplerinin ilgili risklerle mücadele etmesine ve bunları azaltmasına yardımcı olmak için APT grupları arasındaki en önemli gelişmeleri vurgulamak üzere tasarlandı.”
Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörünün hedefli saldırılarının kurbanı olmamak için aşağıdaki önlemlerin alınmasını öneriyor:
- Sisteminizin güvenliğini sağlamak için işletim sisteminizi ve diğer üçüncü taraf yazılımlarını en son sürümlerine derhal güncelleyin. Olası güvenlik açıklarından ve güvenlik risklerinden korunmak için düzenli bir güncelleme programına sahip olmak önemlidir.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en yeni hedefli tehditlerle mücadele edecek şekilde geliştirin.
- Tehdit aktörleri tarafından kullanılan gerçek TTP’lerle güncel kalmak için en son Tehdit İstihbaratı bilgilerini kullanın.
- Uç nokta düzeyinde tespit, araştırma ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın.
- Özel hizmetler, yüksek profilli saldırılarla mücadeleye yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, izinsiz girişleri erken aşamalarında, failler hedeflerine ulaşmadan önce tespit etmeye ve durdurmaya yardımcı olabilir. Bir saldırıyla karşılaşırsanız, Kaspersky Olay Müdahale hizmeti duruma müdahale ederek sonuçları en aza indirmenize, özellikle de güvenliği ihlal edilmiş düğümleri belirlemenize ve altyapıyı gelecekteki benzer saldırılardan korumanıza yardımcı olur.