Çok sayıda uluslararası siber güvenlik kuruluşu, Devlet Güvenlik Bakanlığı’na bağlı, APT40 ve Leviathan gibi çeşitli isimlerle bilinen ÇHC devlet destekli bir siber gruba karşı ortak uyarıda bulundu.
Merkezi Hainan Eyaleti’nde bulunan grup, Avustralya ve ABD’dekiler de dahil olmak üzere dünya çapındaki örgütleri hedef aldı.
Avustralyalı yetkililer yakın zamanda, siber güvenlik uygulayıcılarına bu tehdit aktörünün saldırılarını tespit etme, önleme ve düzeltme konusunda fikir veren, tekniklerine ilişkin örnek olaylar sunan bir duyuru yayınladı.
Çin APT40’ı Kullanıma Hazır
APT40, Avustralya ve diğer bölgesel ağlar için kalıcı bir endişe kaynağı olmasına rağmen, yeni güvenlik açıklarından yararlanmak için hızla uyum sağlar.
Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Altyapıdaki zayıf noktaları tespit etmek ve kimlik hırsızlığına öncelik vermek için düzenli keşif görevleri gerçekleştiriyorlar.
Daha önce web sitelerini tehlikeye atan grup, odağını SOHO cihazlarına kaydırdı ve artık bunları operasyonel altyapı ve son atlama yönlendiricileri olarak kullanıyor.
Bazı ÇHC destekli devlet aktörleri gibi, APT40’ın da bu stratejiyi benimsemesi, ağ savunucularıyla karşılaştığında gerçek trafikmiş gibi görünmesini sağlıyor.
Soruşturma, APT40’ın Temmuz-Eylül 2022 arasında gerçekleştirdiği bir ağ ihlali sonucu Avustralya Sinyal Müdürlüğü’ne bağlı ACSC tarafından başlatıldı.
Grup, ağ içinde çoklu erişim vektörlerine ve yatay harekete yol açan özel bir web uygulamasını kötüye kullandı.
Ana bilgisayar numaralandırması, web kabuğu kullanımı ve ayrıcalıklı kimlik bilgileri de dahil olmak üzere hassas veri sızdırılması vardı.
Yapılan incelemeler sonucunda, devlet destekli bir aktörün kasıtlı olarak hedef alındığı tespit edilmiş olup, bu durum uygun ağ güvenliği önlemlerinin yanı sıra kayıt yapılandırmalarının da gerekliliğini ortaya koymaktadır.
İşte zaman çizelgesi:-
MITRE ATT&CK çerçevesi siber tehdit taktiklerini belgeliyor. Nisan 2022’de APT40 büyük ihtimalle savunmasız bir uzaktan erişim portalı kullanarak bir kuruluşun ağını ihlal etti.
Kimlik bilgisi hırsızlığı yapmak ve potansiyel olarak dahili sistemlere yetkisiz erişim sağlamak amacıyla web kabukları yerleştirildi.
Başvurdukları başlıca hileler arasında kamuya açık uygulamaların istismarı, web kabuklarının dağıtımı, oturum açma verilerinin yakalanması ve yanal hareket denemeleri yer alıyordu.
Avustralya Sinyal Müdürlüğü’nün yetki alanında kurulan Avustralya Siber Güvenlik Merkezi, olayı araştırdı ve çözüm önerileri sundu.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- Uygun günlük kaydı geçmişinin tutulması
- Yama yönetimi
- Ağ segmentasyonu
- Gereksiz ağ hizmetlerini ve bağlantı noktalarını devre dışı bırakın
- Web uygulama güvenlik duvarlarını (WAF’ler) uygulayın
- En az ayrıcalıklı erişimi zorunlu kıl
- Tüm uzaktan erişimler için çok faktörlü kimlik doğrulamayı (MFA) kullanın
- Eski ekipmanları değiştirin
- Özel uygulamaları inceleyin ve güvenliğini sağlayın
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo