Doğu Asya ülkelerini hedef alan karmaşık bir siber casusluk kampanyası ortaya çıkarıldı ve APT-C-60 grubu, kötü şöhretli SpyGlace arka kapısını dağıtmak için WPS Office’teki sıfır günlük bir güvenlik açığını istismar etti. Bu olay, sıfır günlük güvenlik açıklarının oluşturduğu devam eden tehdidi ve yazılım kullanıcıları için zamanında yama yapmanın önemini vurguluyor.
ESET’teki araştırmacılar, dikkatlice hazırlanmış bir saldırı zincirini içeren kampanyayı keşfetti. Güney Kore ile bağlantılı olduğuna inanılan bir siber casusluk grubu olan APT-C-60, Doğu Asya’da yaygın olarak kullanılan popüler bir ofis paketi uygulaması olan WPS Office’te daha önce bilinmeyen bir güvenlik açığından (sıfır gün) yararlandı.
CVE-2024-4167 olarak sınıflandırılan sıfır günlük güvenlik açığı, WPS Office metin oluşturma motorunda (ET Renderer) bulunur. Saldırganlar bu açığı kullanarak güvenlik önlemlerini aşabilir ve hedeflenen sistemlerde keyfi kod çalıştırabilir. Bu, APT-C-60’a kurbanın ağında bir dayanak noktası sağladı ve saldırılarının bir sonraki aşamasını konuşlandırmalarına olanak tanıdı.
SpyGlace: Casusluk için Gizli Arka Kapı
Sıfırıncı gün açığının başarılı bir şekilde istismar edilmesinin ardından APT-C-60, SpyGlace arka kapısını tehlikeye atılmış sistemlere yerleştirdi. SpyGlace, gizli veri sızdırma yetenekleriyle bilinen iyi belgelenmiş bir kötü amaçlı yazılımdır. Kurulduktan sonra, kurbanın makinesinden şunlar dahil olmak üzere hassas bilgiler toplayabilir:
- Kurumsal casusluk: Fikri mülkiyet ve gizli ticari bilgilerin çalınması.
- Hedefli saldırılar: Mağdur organizasyona karşı gelecekte gerçekleştirilecek siber saldırılara ilişkin öngörüler elde etmek.
- Hükümet gözetimi: Hedeflenen kişi veya kuruluşlar hakkında istihbarat toplamak.
SpyGlace’in konuşlandırılması, APT-C-60’ın tehlikeye atılmış sistemlerde uzun vadeli kalıcılık sağlama ve kapsamlı casusluk faaliyetleri yürütme niyetini gösteriyor.
WPS Office Kullanıcılarının Hemen Güncelleme Yapmaları Çağrısı
Bu sıfır günlük güvenlik açığının keşfi ve APT-C-60 tarafından istismar edilmesi, kullanıcıların yazılım güncellemelerine öncelik vermeleri için kritik bir ihtiyaç olduğunu vurgular. Kullanıcıların yapması gerekenler şunlardır:
- WPS Office’i güncelle: WPS Office geliştiricileri, CVE-2024-4167 güvenlik açığını gideren bir yama (sürüm 11.2.0.10221) yayınladı. Tüm kullanıcıların WPS Office kurulumlarını derhal en son yamalı sürüme güncellemeleri şiddetle tavsiye edilir.
- Otomatik güncellemeleri etkinleştir: Gelecekteki güvenlik yamalarını derhal alabilmeniz için WPS Office ayarlarınızda otomatik güncellemeleri etkinleştirmeyi düşünün.
- Güvenlik farkındalığını koruyun: Çalışanlar, saldırganların kötü amaçlı yazılımları dağıtmak için kullandıkları yaygın bir taktik olan şüpheli e-postaları ve ekleri tespit etmek üzere eğitilmelidir.
Yama ve Dikkat Anahtardır
WPS Office sıfır gününü istismar eden APT-C-60 kampanyası, sürekli gelişen siber tehdit ortamının çarpıcı bir hatırlatıcısı olarak hizmet ediyor. Sıfır gün güvenlik açıkları, istismar sırasında bilinen bir yama bulunmadığı için özellikle tehlikelidir. Ancak, uyanık kalarak ve güvenlik güncellemelerini derhal uygulayarak, kuruluşlar ve bireyler saldırı yüzeylerini önemli ölçüde azaltabilir ve bu tür güvenlik açıklarıyla ilişkili riskleri hafifletebilir.
Yama Ötesinde: Ek Hususlar
Yama yapmak çok önemli olsa da, karmaşık siber saldırılara karşı tek savunma bu değildir. İşte dikkate alınması gereken bazı ek güvenlik önlemleri:
- Katmanlı güvenlik uygulayın: Çok katmanlı bir savunma oluşturmak için antivirüs, uç nokta algılama ve yanıt (EDR) ve saldırı algılama/önleme sistemleri (IDS/IPS) dahil olmak üzere güvenlik çözümlerinin bir kombinasyonunu uygulayın.
- Ağınızı bölümlere ayırın: Ağınızı bölümlere ayırmak, saldırganın ilk erişimi elde etmesi durumunda sistem içinde yatay olarak hareket etme yeteneğini sınırlayabilir.
- Düzenli güvenlik değerlendirmeleri: Sistemlerinizdeki ve altyapınızdaki tüm güvenlik açıklarını belirlemek ve gidermek için düzenli güvenlik değerlendirmeleri yapın.
Bu önerileri uygulayarak ve en son siber tehditler hakkında bilgi sahibi olarak, kuruluşlar ve bireyler APT-C-60 tarafından düzenlenen gibi karmaşık siber casusluk kampanyalarının kurbanı olmaktan kendilerini daha iyi koruyabilirler.