İlkel Ayı, Actinium veya Shuckworm olarak da bilinen Gamaredon, en az 2013’ten beri aktif olan bir Rus Gelişmiş Kalıcı Tehdit (APT) grubudur.
Oldukça gizlenmiş ve özellikle agresif, uzun süreli saldırılar uygulayan çok agresif bir tehdit grubudur.
Ekip, hedef odaklı kimlik avı ve sosyal mühendislik saldırıları yoluyla MS Word belgelerinde gizlenen kötü amaçlı yazılımları dağıtıyor.
Silent Push, Gamaredon Grubu’nun hızlı değişim operasyonunu araştırıyor. Yalnızca bir Gamaredon alanında 300’ün üzerinde yeni apeks alanı IOC’si bulundu.
DoControl ile ihtiyaçlarınıza uygun iş akışları oluşturarak SaaS uygulamalarınızı ve verilerinizi güvende tutabilirsiniz. Riskleri tanımlamanın ve yönetmenin kolay ve etkili bir yoludur. Kuruluşunuzun SaaS uygulamalarının riskini ve maruziyetini yalnızca birkaç basit adımda azaltabilirsiniz.
Ücretsiz Demoyu Deneyin
Silahlandırılmış MS Word Belgelerini Kullanma
Belgeye erişildiğinde ve kullanıcı teslimattan önce coğrafi konum, cihaz türü ve sistem özellikleri gibi bir veya daha fazla gereksinimi karşıladığında, yük, saldırganın kontrolündeki bir siteden indirilen bir şablonda barındırılır.
Cyber Security News ile paylaşılan bilgiye göre, “Mızraklı kimlik avı saldırılarında kullanılan büyük miktarda Gamaredon alt alan adı, REGRU-RU aracılığıyla kayıtlı TLD .ru ile bağlantılı ve 71 sayısını içeriyor”.
Gamaredon, keşfedilmeyi önlemek için sonsuz IP adresleri kullanır ve hızlı akışta belirtilen alt alanlar yerine joker A kayıtlarını kullanır.
APT grupları, alt alanlar da dahil olmak üzere tüm alan adlarını sağlayan tehdit akışlarına dayanan standart tehdit algılama yöntemlerinden kaçınmak için hızlı akıştan yararlanır.
Birkaç web sitesi, Gamaredon’un bir MS Word şablonu kullanarak aşağıdaki URL’lerden kötü amaçlı yazılım ekleme yönündeki son çabalarını bildirdi:
- http://encyclopedia83.samiseto[.]ru/HOME-PC/kayıt defteri/dost canlısı/dikmek/üzgünüm[.]83glf
- http://relation46.samiseto[.]ru/MASAÜSTÜ-UVHG99D/percy[.]46rra
“*samiseto ile ilişkili 98 A kaydını keşfettik[.]ru, sürekli rotasyonda kullanıldı” dedi araştırmacılar.
Ek araştırmalar, IP adreslerinin yalnızca 4 güne kadar kullanıldığını, ardından yeni IP’lerle (yeni alt alan adlarıyla birlikte) değiştirildiğini gösterdi; bu, tehdit aktörlerinin tespit edilmesini önlemesine yardımcı oluyor ve izole edilmiş IOC’lerin çoğunluğunun keşfedildikten sonra işe yaramaz hale gelmesine yardımcı oluyor.
Geçmişte ABD’de, Hindistan Yarımadası’nda ve son zamanlarda Ukrayna’da Batılı hükümet kurumlarına yönelik belgelenmiş saldırılar yaşandı.
Öneri
Kuruluşlar, yalıtılmış IOC listelerine güvenmek yerine, apex alanları, ASN’ler, kayıt şirketleri, yetkili ad sunucuları vb. gibi saldırıları destekleyen temel altyapıyı izleyen karşı önlemleri uygulamalıdır.
Ayrıca, güvenlik ekiplerinin saldırgan davranışındaki ASN ve IP çeşitliliği verileri, adlandırma kuralları vb. gibi kalıpları tanımlamasına olanak tanıyan ilişkili veri kümelerini de uygulamalıdırlar.
Kuruluşların kendilerini hızlı akışlı TTP’lerden korumak için alt etki alanından bağımsız olarak apeks etki alanlarını tanıması ve engellemesi gerekir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.