Yeni araçlar, açık kaynaklı tehditler ve hacktivizm: Kaspersky, mevcut APT ortamına ilişkin temel eğilimleri ortaya koydu
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT), 2024’ün ikinci çeyreğinde bazı tehdit aktörlerinin olağan düzenlerini koruduğunu, diğerlerinin araçlarını önemli ölçüde güncellediğini ve faaliyet kapsamını genişlettiğini gözlemledi. Kaspersky telemetrisine göre çeşitli sektörleri hedef alan sofistike siber casusluk kampanyalarında bir artış yaşandı ve kamu, ordu, telekomünikasyon ve yargı sistemleri dünya çapında en fazla sayıda tehditle karşı karşıya kaldı. En son APT trend raporunun öne çıkan başlıkları şöyle:
- Açık kaynaklı tehditlerin istismarı. Geçtiğimiz çeyreğin en önemli gelişmelerinden biri, popüler Linux dağıtımlarında yaygın olarak kullanılan açık kaynaklı bir sıkıştırma aracı olan XZ’nin arka kapısının çalınması oldu. Saldırganlar, yazılım geliştirme ortamında kalıcı erişim elde etmek için sosyal mühendislik tekniklerini kullandı. Kaspersky GReAT, bu tehdidin neden yıllarca tespit edilemediğini açıklayan birkaç ayrıntıyı da ortaya çıkardı. Buradaki önemli faktörlerden biri, saldırganların arka kapı iletişimlerinin yakalanmasını veya ele geçirilmesini önlemek için bir yineleme engelleme özelliği kullanmasıydı. Ayrıca, arka kapının şifresini çözmek için gereken açık anahtarı gizlemek için x86 kodu içinde özel bir steganografi tekniği kullandılar.
- Hacktivist saldırılar. Hacktivist faaliyetler bu çeyrekte tehdit ortamının önemli bir unsuru oldu. Jeopolitik koşullar genellikle kötü niyetli eylemleri yönlendiren önemli bir unsur olurken, 2. çeyrekteki kayda değer saldırıların tümü aktif çatışma bölgeleriyle bağlantılı değildi. Bunun en iyi örneği Homeland Justice grubunun Arnavutluk’taki kuruluşlara yönelik saldırıları oldu. Saldırganlar 100 TB’ın üzerinde veriyi sızdırmayı, resmi web sitelerini ve e-posta hizmetlerini kesintiye uğratmayı, veritabanı sunucularını ve yedeklerini silmeyi başararak hedef aldıkları kuruluşlara büyük zarar verdi.
- Araç setleri güncellemeleri. Kaspersky GReAT, bu dönemde saldırganların araç setlerini güncellemek için zaman ayırdığını gözlemledi. Bu durum 2023’ün başlarında tehdit aktörü GOFFEE, halihazırda izlenen kötü amaçlı bir IIS modülü olan Owawa’nın değiştirilmiş bir sürümünü kullanmaya başladığında keşfedildi. O zamandan beri GOFFEE hem Owawa’yı hem de PowerShell tabanlı RCE implantı VisualTaskel’i kullanmayı bıraktı. Ancak, daha önceki HTA tabanlı bulaşma zinciri olan PowerTaskel’den yararlanarak saldırılarına devam etti. Ayrıca GOFFEE, yasal bir belge kılığında gizlenen ve e-posta yoluyla dağıtılan yeni bir yükleyici sunarak araç setini genişletti ve hedefe sızma yeteneğini daha da geliştirdi.
- Coğrafi yayılım. Son çeyrekte APT saldırıları için herhangi bir bölge öne çıkmadı. Bunun yerine, faaliyetler tüm bölgeleri etkileyecek şekilde yagın bir görünüm sergiledi. Bu çeyrekte APT kampanyaları Avrupa, Amerika, Asya, Orta Doğu ve Afrika’yı hedef alarak tehditlerin küresel erişimini ve etkisini vurguladı.
Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm, şunları söyledi: “APT’ler sürekli olarak evrim geçiriyor, taktiklerini yeni koşullara uyarlıyor ve erişim kapsamlarını genişleterek siber dünyada amansız bir güç haline geliyor. Sürekli değişen bu tehditlerle mücadele etmek için siber toplumun birleşmesi, bilgi paylaşması ve sınırlar ötesinde iş birliği yapması çok önemli. Kolektif dikkat ve açık iletişim sayesinde bu tehditlerin bir adım ötesine geçebilir ve dijital dünyamızı koruyabiliriz.”
22-25 Ekim 2024 tarihleri arasında Bali’de on altıncısı düzenlenecek olan Security Analyst Summit’te (SAS) en karmaşık tehditlere ilişkin daha özel araştırmalar açıklanacak.
2024’ün 2. çeyreğindeki APT tehdit ortamı hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edebilirsiniz.
Ayrıca Kaspersky GReAT, Kaspersky Threat Intelligence Portal (TIP) aracılığıyla en son bulgularını ve özel içgörülerini aktif olarak paylaşmaya devam ediyor.