• Biz Kimiz
  • Künye
logo
MEDOC
logo
  • Anasayfa
  • ICT Etkinlik
  • Gündem
  • Bilişim
  • Telekom
  • Savunma
  • Enerji
  • e-Mobilite
  • Oyun
  • Kariyer
  • Röportaj
  • Dergi
  • Yazarlarımız
MEDOC
  1. Anasayfa
  2. Bilişim
  3. APT aktörleri, saldırıları başlatmak için sistemleri istismar etmeye devam ediyor
APT aktörleri, saldırıları başlatmak için sistemleri istismar etmeye devam ediyor

APT aktörleri, saldırıları başlatmak için sistemleri istismar etmeye devam ediyor

ICT Media ICT Media
5 Mayıs 2021 00:00
Paylaş

Geçtiğimiz üç ay içinde, ileri düzey tehditlerde tedarik zinciri saldırıları ve sıfır gün suistimalleri öne çıktı. SolarWind’in BT altyapılarını izlemek için Orion BT yazılımında bulduğu açık 18 binden fazla müşteri ağının özel bir arka kapıdan etkilenmesine neden olurken, Microsoft Exchange Server'daki güvenlik açığı Avrupa, Rusya ve Amerika Birleşik Devletleri'nde yeni saldırı dalgalarına yol açtı. Tüm bu bulgular Kaspersky’nin APT Q1 raporunda yer alıyor.

Gelişmiş tehdit aktörleri taktiklerini sürekli değiştiriyor, araç setlerine yeni beceriler ekliyor ve yeni saldırı dalgaları başlatıyor. Bu nedenle Kaspersky’nin Küresel Araştırma ve Analiz (GReAT) ekibi, kullanıcıları ve kuruluşları karşılaştıkları tehditler hakkında bilgilendirmek için gelişmiş kalıcı tehdit ortamındaki en önemli gelişmeler hakkında üç aylık raporlar sunuyor. Geçtiğimiz çeyrekte yayınlanan rapor, iki büyük faaliyet dalgasına dikkat çekiyor.

Bunlardan ilki, BT yönetimli servis sağlayıcısının BT altyapılarını izlemek için kullandığı Orion BT yazılımının istismar edildiği SolarWinds saldırısı. Bu, Sunburst olarak bilinen özel bir arka kapının 18 binden fazla müşterinin ağlarına yerleştirilmesine yol açtı. Bunların çoğu, Kuzey Amerika, Avrupa, Orta Doğu ve Asya'daki büyük şirketlerden ve devlet kurumlarından oluşuyordu.

Kaspersky araştırmacıları, arka kapıyı daha yakından inceledikten sonra, ilk olarak 2017'de görülen ve geçici olarak kötü şöhretli Turla APT grubuyla bağlantısı olduğu tespit edilen Kazuar adlı arka kapı ile benzerliklerine dikkat çektiler. Bu, Kazuar ve Sunburst'un arkasındaki saldırganların bir şekilde bağlantılı olabileceğini gösteriyor.

İkinci etkinlik dalgası, Microsoft Exchange Server'daki şu an yamanmış sıfır gün açıklarından kaynaklanıyordu. Mart ayının başında, HAFNIUM olarak bilinen yeni bir APT aktörünün bir dizi "sınırlı ve hedefli saldırı" başlatmak için bu açıklardan yararlandığı tespit edildi. Mart ayının ilk haftasında, çoğunluğu Avrupa ve Amerika Birleşik Devletleri'nde olmak üzere yaklaşık 1.400 benzersiz sunucu bu şekilde hedeflendi. Bazı sunucuların birden çok kez hedeflendiği göz önüne alındığında, artık birden çok grubun güvenlik açıklarını kullandığı görülüyor. Kaspersky, Mart ortasında Rusya'yı hedef alan ve aynı istismarları kullanan başka bir kampanyayı ortaya çıkarmıştı. Bu kampanya HAFNIUM ve Kaspersky'nin araştırmakta olduğu önceden bilinen etkinlik kümelerinin bazı bağlantıları olduğuna işaret ediyor.

Bu dönemde APT grubu Lazarus'un yeni bir faaliyet kümesi de rapor edildi. Bu kez grup, güvenlik araştırmacılarını ele geçirilmiş bir Visual Studio proje dosyasını indirmeye veya kurbanları kendi bloglarına çekmeye ikna etmek için sosyal mühendisliği kullandı ve ardından sistemlerine Chrome açığı yükledi. Saldırının ilk dalgası Ocak'ta, ikincisi Mart'ta meydana geldi. İkinci dalga, yeni bir sahte sosyal medya profilleri dalgası ve hedeflenen kurbanları etkili bir şekilde kandırmak için sahte bir şirketle birleşmiş şekilde ortaya çıktı.

Kaspersky araştırmacıları saldırıyı daha yakından incelediğinde, kampanyada kullanılan kötü amaçlı yazılımın Lazarus tarafından geliştirilen ve 2020 ortalarında savunma endüstrisini hedef aldığı görülen bir arka kapı olan ThreatNeedle ile eşleştiğini belirledi.

TurtlePower olarak adlandırılan başka bir ilginç sıfır gün istismar kampanyası, Pakistan ve Çin'deki hükümet ve telekom kuruluşlarını hedef. Bu saldırının BitterAPT grubuyla bağlantılı olduğuna inanılıyor. Şu an yamalanmış olan güvenlik açığının kökeni, son iki yılda en az beş istismar geliştiren ve bazıları hem BitterAPT hem de DarkHotel tarafından kullanılan bir komisyoncu olan "Moses" ile bağlantılı görünüyor.

GReAT Kıdemli Güvenlik Araştırmacısı Ariel Jungheit, şunları ifade ediyor: "Geçtiğimiz çeyrekten elde edilen belki de en büyük çıkarım, başarılı tedarik zinciri saldırılarının ne kadar yıkıcı olabileceğidir. SolarWinds saldırısının kapsamının tam olarak anlaşılması için muhtemelen birkaç ay daha geçmesi gerekecek. İyi haber şu ki, tüm güvenlik topluluğu artık bu tür saldırılardan ve onlar hakkında ne yapabileceğimizden bahsediyor. İlk üç ay bizlere en kısa sürede yamaları uygulamanın önemini hatırlattı. Lazarus’un son kampanyasında görüldüğü gibi, sıfırıncı gün istismarları APT gruplarının kurbanlarını şaşırtıcı derecede yaratıcı yollarla bile tehlikeye atmaları için oldukça etkili ve yaygın bir yol olmaya devam edecek.”

Q1 APT trendleri raporu, Kaspersky’nin yalnızca abonelere yönelik tehdit istihbaratı raporlarının bulgularını özetliyor. Bu raporlar, adli tıp ve kötü amaçlı yazılım avına yardımcı olmak için Tehlike Göstergeleri (IOC) verilerini ve YARA kurallarını da içeriyor. Daha fazla bilgi için intelreports@kaspersky.com ile iletişime geçebilirsiniz.

Securelist'te APT Q1 tehdit ortamı hakkında daha fazla bilgi edinebilirsiniz.

Kaspersky uzmanları, şirketinizi gelişmiş kalıcı tehdit faaliyetlerinden korumak için şunları öneriyor:

Yeni güvenlik açığı için mümkün olan en kısa sürede gerekli yamaları yükleyin. Böylece tehdit aktörleri güvenlik açığını artık kötüye kullanamaz.

Boşlukları ve savunmasız sistemleri ortaya çıkarmak için bir kuruluşun BT altyapısında düzenli bir güvenlik denetimi gerçekleştirin.

Uç nokta koruma çözümündeki güvenlik açığı ve yama yönetimi yetenekleri, BT güvenlik yöneticilerinin görevini önemli ölçüde kolaylaştırabilir.

Anti-APT ve EDR çözümlerini kurarak tehdit keşfi ve tespiti, araştırma ve olayların zamanında düzeltilmesi için yetenekler sağlayın. SOC ekibinize en son tehdit istihbaratına erişim sağlayın ve onlara düzenli olarak profesyonel eğitimler sağlayın. Yukarıdakilerin tümü Kaspersky Expert Security framework üzerinde mevcuttur.

Paylaş
SolarWind BT Kaspersky APT Q1 GReAT TurtlePower  Ariel Jungheit teknoloji gündemi bilişim gündemi

Bilişim Kategorisinin En Yenileri

ESB Genel Kurulu’nda Dijital Gelecek Şekillendi: Hedef, Yerli ve Güvenli Altyapı
ESB Genel Kurulu’nda Dijital Gelecek Şekillendi: Hedef, Yerli ve Güvenli Altyapı
4 Haziran 2025 11:25
TeamSense ile sürekli geribildirim, anlık aksiyon alma imkânı
TeamSense ile sürekli geribildirim, anlık aksiyon alma imkânı
3 Haziran 2025 17:25
Yatırımda yapay zekâ dönemi
Yatırımda yapay zekâ dönemi
3 Haziran 2025 17:21
SAP, iş odaklı yapay zekayla şirketlerin çalışma yöntemlerini yeniden tasarlıyor
SAP, iş odaklı yapay zekayla şirketlerin çalışma yöntemlerini yeniden tasarlıyor
3 Haziran 2025 17:17
Şirketlerin yüze 92’si müşteri deneyimini dijitalleştirerek rekabette öne geçmeye odaklandı
Şirketlerin yüze 92’si müşteri deneyimini dijitalleştirerek rekabette öne geçmeye odaklandı
3 Haziran 2025 17:15
150 bin dolarlık ‘Mektup’ yatırımı
150 bin dolarlık ‘Mektup’ yatırımı
3 Haziran 2025 17:11
ICT MEDIA DERGİSİ HAZİRAN 2025 SAYISI ÇIKTI!
Dergi

ICT MEDIA DERGİSİ HAZİRAN 2025 SAYISI ÇIKTI!

Copyright © 2022. All Rights Reserved. Paragon Teknoloji

Webmail

play store app store

Bu websitesi Odeaweb sunucularında barındırılmaktadır.