Küresel siber çeteler hızla gelişiyor, gelişmiş teknikler kullanıyor ve devlet sponsorluğundan yararlanıyor. Menlo Security’nin son raporu, büyüyen tehdit ortamını ortaya koyuyor ve bu suç gruplarının nasıl daha karmaşık ve tehlikeli hale geldiğini ayrıntılarıyla anlatıyor.
Tarayıcı güvenliği devi Menlo Security’nin son raporu, “Küresel Siber Çeteler”, HEAT saldırı tekniklerini kullanan, bankacılık kurumlarını, finansal güç merkezlerini, sigorta şirketlerini, hukuk firmalarını, devlet kurumlarını ve sağlık hizmeti sağlayıcılarını hedef alan üç yeni ulus devlet kampanyasını ortaya koyuyor.
Bilginize, Son Derece Kaçıngan ve Uyarlanabilir Tehdit (HEAT), dinamik davranış, dosyasız saldırılar ve gecikmeli yürütme gibi teknikleri kullanarak tespit edilmekten kaçınarak giriş noktası olarak web tarayıcılarını hedef alan, geleneksel güvenlik önlemlerini aşan karmaşık siber tehditlerdir.
Menlo Labs, en az 40.000 yüksek değerli kullanıcıyı tehlikeye atan ve MFA’yı atlayıp Adversary in the Middle (AiTM) kitleriyle oturumları devralabilen kaçamak saldırılar üreten üç karmaşık HEAT kampanyası keşfetti: LegalQloud, Eqooqp ve Boomer.
Araştırma, kullanıcıların tıkladığı kötü amaçlı bağlantıların %60’ının kimlik avı veya dolandırıcılık olduğunu, %25’inin eski URL filtreleme tarafından tespit edilmediğini ve Microsoft’un en çok kimliğe bürünülen marka olduğunu ortaya koyuyor.
Temel Kampanyalar ve Teknikler
- YasalQloud: Güvenliği aşmak için güvenilir etki alanlarını ve URL karartmasını kullanır, daha önce tanımlanan taktiklere benzer. Kaçınma için Tencent Cloud’a güvenmek, saldırganların küresel altyapıyı istismar etmesine ilişkin daha önceki gözlemlerimizle uyumludur.
- Eqooqp: MFA’yı yenmek için Adversary in the Middle (AiTM) tekniklerini ve NakedPages kimlik avı araç setini kullanır. DEV-1101 ile ilişki, kampanyanın uyarlanabilirliğini ve karmaşıklığını vurgular.
- Boomer: Gelişmiş kaçınma teknikleri, özel HTTP başlıkları ve hızlı kimlik avı sitesi dağıtımı kullanır ve tehdit aktörleri arasında sürekli iyileştirmeyi yansıtır. Boomer’ın otomatik güvenlik analiz araçlarından kaçınma becerisi, yüksek düzeyde operasyonel olgunluğa işaret eder.
LegalQloud, Çin’in en büyük internet şirketi Tencent Cloud’da barındırılıyor. Microsoft kimlik bilgilerini çalmak için yasal firmaları taklit eder. Kuzey Amerika hükümetleri ve yatırım bankaları ana hedefleri arasında yer alıyor ve bildirildiğine göre URL sınıflandırmasını ve engelleme listelerini atlayarak 90 gün içinde yaklaşık 500 işletmeyi hedef aldı.
Eqooqp kampanyası, kurban ile meşru web sitesi arasına bir proxy sunucusu yerleştirilerek oturum açma kimlik bilgilerini ele geçiren Adversary-in-the-Middle/AiTM tekniğini kullanarak, kimlik avına dayanıklı olmayan MFA’yı (çok faktörlü kimlik doğrulama) atlatarak hükümet ve özel sektör kuruluşlarını hedef alıyor.
Şu anda lojistik, yüksek öğrenim, petrol, finans ve imalat sektörleri ana hedefleridir. Menlo Cloud, son aylarda bu kampanyayla bağlantılı yaklaşık 50.000 saldırıyı tespit edip durdurdu ve bu kampanyayı DEV-1101 veya Storm-1101’e bağladı.
Boomer, dinamik kimlik avı siteleri, izleme çerezleri, özel HTTP başlıkları, bot algılama önlemleri, sunucu tarafında oluşturulan sayfalar ve şifrelenmiş kod gibi gelişmiş teknikler kullanan, hükümet ve sağlık sektörlerini hedefleyen karmaşık bir kimlik avı kampanyasıdır. Adobe ve Microsoft gibi markaları taklit eder.
Ulus devletlerin siber savaş alanındaki geniş kaynakları ve uzmanlıklarıyla bu çetelere güvenli sığınaklar ve teknik yardım sağladığı iddia ediliyor. Devlet destekli siber suçlar işletmelere, kritik altyapıya ve vatandaşların kişisel bilgilerine yönelik önemli tehditler oluşturmaktadır.
Critical Start Siber Tehdit Araştırması Kıdemli Müdürü Callie Guenther, rapor hakkında şu yorumu yaptı: “Nisan 2023’te Critical Start, bu saldırıların geleneksel güvenlik kontrollerini atlatmak için tarayıcı güvenlik açıklarından nasıl yararlandığını belirterek Yüksek Derecede Kaçınma Amaçlı Uyarlanabilir Tehditlerin (HEAT) artışını tespit etti. Menlo Security’nin son raporu, HEAT saldırılarının nasıl evrimleşmeye devam ettiğini ve gelişmiş tekniklerle Çok Faktörlü Kimlik Doğrulama (MFA) gibi önlemleri nasıl atlattığını göstererek bu bulguları doğruluyor.“
Bununla mücadele etmek için istihbarat paylaşımı, ortak soruşturmalar ve koordineli kaldırma operasyonları dahil olmak üzere artan uluslararası iş birliği hayati öneme sahiptir. Sağlam siber güvenlik önlemleri, çalışan eğitimi ve gelişmiş yazılımlar da önemlidir. Hükümetler veri koruması için en iyi uygulamaları teşvik edebilir ve düzenlemeler oluşturabilir.
İLGİLİ KONULAR
- Çin Blackwood APT, NSPX30 Arka Kapısını Dağıtıyor
- Yeni APT Grubu “Solmayan Deniz Pusu” Askeri Hedefleri Vuruyor
- Kaspersky, APT’lerde ve Hedefli Saldırılarda Küresel Artışı Açıkladı
- Rus APT28, GooseEgg Aracıyla Windows Kusurunu İstismar Ediyor
- Rus APT29, TeamCity İhlalinde ABD Biyomedikal Devini Hackledi