Son üç aylık APT eğilimleri özeti, Kaspersky’nin özel tehdit istihbaratı araştırmalarının yanı sıra diğer kaynaklardan toplanan bilgileri de içeriyor. Özette araştırmacıların herkesin bilmesi gerektiğine inandığı değerli gelişmeler yer alıyor.
Kaspersky araştırmacılarının 2020’nin birinci yarısında elde ettiği bulgular, APT kümelerinin tüm dünyada gelişim içinde olduğunu gösteriyor. En fazla dikkat çeken değişimler, şu kümeler tarafından uygulandı:
Son birkaç yıldır en çok öne çıkan tehdit kümelerinden biri olan Lazarus kümesi, finansal kazanımlar elde edebilmek için artık çok daha fazla yatırım yapıyor. Siber casusluk ve siber sabotaj üzere emellerinin yanı sıra bu tehdit aktörü küme, tüm dünya çapında bankalar ve başka kimi finans kurumlarını amaç aldı. Kaspersky araştırmacıları bu çeyrekte ayrıyeten Lazarus’un kötücül yazılımlarını yaymak için, siber hata ekosisteminde pek görülmeyen bir prosedür kullandığını; çok platformlu bir arayüz olan ve MATA olarak isimlendirilen kendi fidye yazılımını geliştirip kullandığını da gözlemledi. Lazarus, daha evvel, makûs şöhretiyle hatırlanan WannaCry taarruzuyla ilişkilendirilmişti.
Gelişmiş PhantomLance taşınabilir hücumlarının ardındaki tehdit aktörü olan OceanLotus, 2019’un ikinci yarısından bu yana çok basamaklı yükleyicisinin farklı ve yeni çeşitlerini kullanıyor. Yeni çeşitler, kesin implantlarının hakikat kurbana yerleştirilmesini sağlamak için amaç bilgisayarlardan evvelden ele geçirilen bilgileri (kullanıcı ismi, ana bilgisayar ismi vb.) kullanıyor. Küme, art kapı implantının yanı sıra Cobalt Strike Beacon’ı da yenileştirilmiş bir altyapı ile kullanmaya devam ediyor.
CactusPete isimli Çinli küme, son devirde yaygın olarak çeşitli fonksiyonlar için eklentiler içeren, karmaşık ve modüler bir akın platformu olan ShadowPad’i kullanıyor. ShadowPad, daha evvel farklı atak olaylarında kullanılan farklı bir eklenti alt kümesiyle, bir dizi büyük siber akında kullanıldı.
MuddyWater APT kümesi, 2017’de keşfedildi ve o vakitten beri Orta Doğu’da faal olarak varlığını sürdürüyor. 2019 yılında Kaspersky araştırmacıları, Orta Doğu’daki birtakım telekomünikasyon şirketleri ve hükümet kurumlarını gayesine alan atak faaliyetlerini bildirmişti. Kaspersky kısa mühlet evvel ise MuddyWater’ın, yatay hareket için kullandığı ve Secure Socket Funneling ismi verilen açık kaynaklı bir yardımcı programdan yararlandığı yeni bir hücum dalgasında yepisyeni bir C ++ programı kullandığını keşfetti.
HoneyMyte APT, bir Güneydoğu Asya ülkesi hükümetinin web sitesine yönelik olarak “Watering hole” saldırısı gerçekleştirdi. Mart ayına gerçekleştirilen bu akın tekniğiyle siber saldırganlar, gayelerinde olan kuruma ziyan verebilmek için beyaz liste (whitelisting) ve toplumsal mühendislik tekniklerinden yararlandı. Burada tehdit aktörleri, kurbanı kolay bir ZIP arşiv evrakı indirerek bir Cobalt Strike yazılımı yürütmeye teşvik eden “readme” belgesi kullandı. Cobalt Strike’ı çalıştırmak için kullanılan sistem, bir Cobalt Strike stager kodunun şifresini çözen ve yürüten DLL yan yüklemesiydi.
Kaspersky Küresel Araştırma ve Tahlil Takımı Baş Güvenlik Araştırmacısı Vincente Diaz, “Tehdit ortamı her vakit ‘çığır açıcı’ vakalarla dolu değil ancak siber hatalıların faaliyetlerinde son birkaç aydır da azalma mutlaka yaşanmadı. Tehdit aktörlerinin araç setlerinde iyileştirmeler yapmaya, hücum vektörlerini çeşitlendirmeye ve hatta yeni maksat cinslerine geçmeye devam ettiklerini görüyoruz. Örneğin, taşınabilir implantların kullanımı artık yeni bir olgu değil. Gördüğümüz bir başka eğilim ise BlueNoroff ve Lazarus üzere birtakım APT kümelerinin finansal kara gerçek ilerliyor olması. Yeniden de jeopolitik, birçok tehdit aktörü için de kıymetli bir motivasyon kaynağı olmaya devam ediyor. Tüm bu gelişmeler sırf tehdit ortamı istihbaratına yatırım yapılmasının kıymetini vurguluyor. Siber hatalılar aslında muvaffakiyete ulaştıkları vakit durmuyor, daima olarak yeni TTP’ler geliştiriyorlar. Hasebiyle kendilerini ve kurumlarını ataklara karşı korumak isteyenler de o denli hareket etmek durumunda.” dedi.
Hürriyet
