Sekiz ülkeden istihbarat ve siber güvenlik kuruluşları tarafından yayımlanan bir bildiride, Çin devlet destekli siber grup APT40’ın, yaygın olarak kullanılan yazılımlardaki güvenlik açıklarını tespit etmek için kamuya açık kavram kanıtı (PoC) istismarlarını inanılmaz derecede hızlı bir şekilde uyarladığı uyarısı yapıldı.
Kryptonite Panda ve Gingham Typhoon olarak da bilinen ve Çin Devlet Güvenlik Bakanlığı tarafından desteklendiği düşünülen grubun, “kamuoyuna duyurulduktan birkaç saat veya gün sonra yeni yüksek profilli güvenlik açıklarını tespit etmek için POC’leri kullanma” şeklinde bu işleyiş biçimini sürdürmesi bekleniyor.
APT40 kuruluşları nasıl tehlikeye atıyor?
APT 40’ın “kimlik avı kampanyaları gibi kullanıcı etkileşimi gerektiren teknikler yerine savunmasız, kamuya açık altyapıları istismar etmeyi tercih ettiği” ve Log4J, Atlassian Confluence ve Microsoft Exchange gibi yazılımlardaki güvenlik açıklarını istismar ettiği bilinmektedir.
APT40 aktivite akış şeması (Kaynak: CISA)
Onlar düzenli olarak:
- Hedef ağlarda kalıcılığı güvence altına almak için web kabuklarını kullanın (ve bunlarla etkileşim kurmak için web servislerini, web ve posta protokollerini kullanın)
- Keşif için sistem komutlarını ve geçerli kimlik bilgilerini tehlikeye atmak için çeşitli yöntemleri kullanın
- Yatay hareket için RDP ve SMB/Windows Paylaşımları dahil olmak üzere uzak hizmetleri kullanın
- Hedeflerin savunmalarını zayıflatın, faaliyetlerini maskeleyin ve tehlikeye dair göstergeleri ortadan kaldırın
Kurumlar, “İhlalin erken aşamalarında kalıcılık meydana geldiğinden, ihlalin kapsamı veya alınan diğer önlemler ne olursa olsun, tüm ihlallerde görülme olasılığı daha yüksektir” diye belirtti.
İşletme savunucularına tavsiyeler
Güvenlik duyurusunda, APT40’ın iki başarılı saldırısını araştırmaya yardımcı olan güvenlik uzmanlarının yer aldığı Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi tarafından hazırlanan iki anonim soruşturma raporu da yer alıyor.
Raporlarda, siber casusluğa odaklanan tehdit aktörünün kullandığı çeşitli araçlar, taktikler ve teknikler vurgulanıyor. Bunlar arasında ayrıcalıklı hesaplara ait kimlik bilgilerini ele geçirme eğilimi ve saldırılar için başlangıç noktası olarak kullanım ömrü dolmuş (EOL) veya yama uygulanmamış küçük ofis/ev ofis (SOHO) cihazlarını kullanma eğilimi yer alıyor.
(Mandiant’ın tehdit analistleri daha önce Çin destekli APT’lerin tespit edilmekten kaçınmak ve atıfları zorlaştırmak için sanal özel sunuculardan ve güvenliği ihlal edilmiş yönlendiricilerden ve Nesnelerin İnterneti cihazlarından oluşan proxy ağlarını daha fazla kullandığını belirtmişti.)
Tavsiyede, bu ve diğer saldırıların engellenmesi ve kapsamının sınırlandırılmasına yönelik hafifletici tedbirler yer alıyor ve şunlar yer alıyor:
- Kapsamlı günlük kaydı (tespit ve soruşturmaya yardımcı olmak için)
- İnternete bakan altyapıdaki güvenlik açıklarının derhal kapatılması
- Ağ segmentasyonu
- Kullanılmayan veya gereksiz ağ servislerinin, portların ve protokollerin devre dışı bırakılması
- Sunuculara, dosya paylaşımlarına ve diğer kaynaklara erişimi sınırlamak için çok faktörlü kimlik doğrulamanın (MFA) kullanılması ve en az ayrıcalığın uygulanması
- EOL ekipmanının değiştirilmesi
- Web sunucularını ve uygulamaları korumak için iyi ayarlanmış web uygulama güvenlik duvarlarının (WAF’ler) kullanılması
Ayrıca kuruluşların olası tehlike göstergelerini tespit etmek için kullanabileceği birkaç Sigma kuralı da vardır.
“[APT40] Ajanslar, “Daha önce Avustralya ve ABD de dahil olmak üzere çeşitli ülkelerdeki örgütleri hedef aldı ve aşağıda vurgulanan teknikler, küresel çapta diğer ÇHC devlet destekli aktörler tarafından düzenli olarak kullanılıyor” dedi.