Proofpoint’in güvenlik araştırmacıları, dikkatlerini söz konusu ekosistemde faaliyet gösteren küçük ve orta ölçekli işletmelere ve hizmet sağlayıcılara odaklayan gelişmiş tehdit aktörlerinin belirtilerini belirledi.
Araştırmacılar kısa bir süre önce, KOBİ’lerin karşı karşıya kaldığı giderek artan ciddi tehditlerle ilgili son raporlarında bir uyarı mesajı yayınladılar.
Araştırmacılar, dünya çapındaki KOBİ’ler için önemli riskler oluşturan ayırt edici APT eğilimlerini belirlemek için 200.000’den fazla küçük ve orta ölçekli işletmeyi kapsayan çok çeşitli Proofpoint Essentials telemetrisini kullandı.
Spesifik olarak, iyi finanse edilmiş APT gruplarının oluşturduğu riskin yanı sıra güvenliği ihlal edilmiş yönetilen hizmet sağlayıcılardan kaynaklanan endişe verici tedarik zinciri saldırıları olasılığını vurguluyorlar.
Proofpoint’in danışmanlığı, genellikle özel güvenlik ekipleri olmadan çalışan ve onları savunmasız hedeflere benzer şekilde kötü amaçlı yazılım saldırılarına açık hale getiren KOBİ’lerin güvenlik açığına ışık tuttuğu için önemli endişe taşır.
Kalıcı Tehdit Aktör Grupları
Araştırmacılar, dikkatlerini özellikle küçük ve orta ölçekli işletmelere (KOBİ’ler) odaklayan çok sayıda gelişmiş kalıcı tehdit (APT) aktörünü başarılı bir şekilde tespit etti ve aşağıdaki ülkelerin ulusal çıkarlarıyla bağlantılı önemli bir tehdit aktörü varlığına sahip:-
Kuruluşlar, küresel olarak alınan günlük e-posta akışında bulunan ticari e-posta gizliliği (BEC), siber suçlular, fidye yazılımları ve yaygın kötü amaçlı yazılımları ele alarak ağ güvenliğine öncelik verir.
Gelişmiş kalıcı tehdit aktörleri, stratejik görevlerle ilişkili hedefli kimlik avı kampanyaları yürütür, ancak yine de yaygın anlayışları nadirdir.
Belirli görevler şunları içerirken: –
- Casusluk
- Fikri mülkiyet hırsızlığı
- Yıkıcı saldırılar
- Devlet destekli mali hırsızlık
- dezenformasyon kampanyaları
Gelişen APT Trendleri
Bir yıllık APT kampanya verilerini analiz eden kanıt noktası araştırmacıları, KOBİ’lere karşı kimlik avı kampanyaları yürüten Rus, İran ve Kuzey Koreli tehdit aktörlerini belirlediler ve bu işletmelere karşı kullanılan saldırı türleri ve taktiklerinde dikkate değer üç eğilimi ortaya çıkardılar.
Aşağıda, bu üç önemli trendden bahsettik: –
- APT’ler, kimlik avı saldırıları için saldırıya uğramış SMB altyapısından yararlanır.
- APT’ler, KOBİ finansal hizmetlerini durumla uyumlu, finansal olarak motive edilmiş saldırılarla hedefler.
- APT’ler, tedarik zinciri saldırıları için KOBİ’leri hedefler.
KOBİ’lerin Altyapısının Sömürülmesi
Geçen yıl, Proofpoint araştırmacıları, SMB alan adlarının veya e-posta adreslerinin kimliğine bürünüldüğü veya güvenliğinin ihlal edildiği durumlarda, genellikle web sunucularına veya e-posta hesaplarına, kimlik bilgilerini toplayarak veya yama uygulanmamış güvenlik açıklarından yararlanarak yapılan başarılı saldırılar yoluyla bir artış kaydetti.
Başarılı bir uzlaşma sağlandıktan sonra, tehlikeye atılan e-posta adresi daha sonra kötü amaçlı e-postaları sonraki hedeflere iletmek için kullanıldı.
Bir tehdit aktörü, bir etki alanını barındıran bir web sunucusunun güvenliğini aşmayı başarırsa, söz konusu altyapıyı kötü amaçlı kötü amaçlı yazılımları ilk güvenlik ihlaliyle ilgisi olmayan bir hedefe barındırmak veya dağıtmak için kullanarak meşruiyetinden yararlanır.
Dikkate değer bir bulguda, Proofpoint araştırmacıları, APT aktörü TA473’ün (Winter Vivern) Kasım 2022 ile Şubat 2023 arasında ABD ve Avrupa hükümet birimlerini hedef alan kimlik avı kampanyaları yürütmek için güvenliği ihlal edilmiş KOBİ altyapısından yararlandığını keşfetti.
Devlet kurumları, yama uygulanmamış Zimbra web posta sunucularından yararlandıkları için e-posta hesabı ihlallerinin kurbanı oldu.
TA473, yalnızca e-posta göndermek için güvenliği ihlal edilmiş küçük ve orta ölçekli işletme (SMB) altyapısı kullanmakla kalmadı, aynı zamanda kötü amaçlı kötü amaçlı yazılım yüklerini dağıtmak için güvenliği ihlal edilmiş SMB etki alanlarını da kullandı.
Bunun dışında, TA422 ve TA499 gibi daha fazla tehdit aktörü grubu, birkaç SMB’yi aktif olarak istismar etti.
TA499, Ukrayna Devlet Başkanı Volodymyr Zelensky’nin kimliğine bürünerek, önde gelen bir Amerikalı ünlüyü Ukrayna’daki çatışmayla ilgili bir video konferans görüşmesine çekmeye çalıştı.
Devletle bağlantılı tehdit aktörleri, özellikle Kuzey Kore ile ilişkili olanlar, casusluk, fikri mülkiyete ek olarak fonları ve kripto para birimini çalmayı amaçlayan mali amaçlı saldırılarda kurumları, merkezi olmayan finansı ve blockchain teknolojisini hedef alarak finansal hizmetler sektörüne yönelik sürekli bir tehdit oluşturmaktadır. hırsızlık ve yıkıcı saldırılar.
Kanıt noktası, Kuzey Kore bağlantılı TA444 tarafından Amerika Birleşik Devletleri’ndeki orta ölçekli bir dijital bankacılık kurumunu hedef alan ve elde edilen fonların muhtemelen Kuzey Kore’nin hükümet operasyonlarının çeşitli yönlerini desteklemek için kullanıldığı bir kimlik avı kampanyası belirledi.
Proofpoint’in yakın tarihli yayını, TA444’ün kötü amaçlı bir URL içeren bir e-postada ABF Capital’in kimliğine bürünerek CageyChameleon kötü amaçlı yazılımının dağıtımına yol açması ve 2022’nin ikinci yarısında yenilikçi yaklaşımlarını sergilemesi de dahil olmak üzere aldatıcı taktiklerini vurguladı.
TA450’nin İsrail’deki bölgesel yönetilen hizmet sağlayıcılara (MSP’ler) odaklanması, coğrafi hedeflemelerinde tutarlı bir model olduğunu öne sürüyor ve küçük ve orta ölçekli işletme (KOBİ) kullanıcılarına erişim elde etmek için savunmasız MSP’lere yönelik tedarik zinciri saldırılarından yararlanma konusundaki süregelen ilgilerini vurguluyor.
APT aktörleri, altyapılarından taviz vererek, devletle uyumlu mali hırsızlık yaparak ve bölgesel MSP tedarik zincirlerini hedef alarak günümüzün küçük ve orta ölçekli işletmeleri için gerçek bir tehdit oluşturuyor.
APT aktörleri, altyapılarını hedef alarak, finansal hırsızlık gerçekleştirerek ve MSP tedarik zincirlerine saldırarak bugün KOBİ’ler için gerçek bir tehdit oluşturmaktadır.
Bu araştırma, işletme sahiplerine ve bölgesel MSP’lere çevik e-posta kimlik avı korumasını benimseme, hedefli saldırıları tespit etme, spam’i önleme ve siber suç tehditleriyle etkili bir şekilde mücadele etme konusunda yardımcı olur.
Cihaz Duruş Güvenliği ile Kimlik Avı Saldırılarını Durdurun – Ücretsiz E-Kitap İndirin