Microsoft kısa süre önce, Storm-0558 olarak tanımlanan Çin merkezli bir tehdit aktörü tarafından yürütülen karmaşık bir izinsiz giriş kampanyasını ortaya çıkardı. Bu kampanya, devlet kurumları da dahil olmak üzere yaklaşık 25 kuruluşu etkileyerek ve potansiyel olarak ilgili tüketici hesaplarını tehlikeye atarak e-posta hesaplarına başarıyla erişim sağladı.
BT Sistemlerini Hedef Alan Gelişmiş Tehdit Aktörleri
Siber saldırılar giderek daha karmaşık hale geldikçe ve sıklaştıkça, motive olmuş tehdit aktörleri BT sistemlerini ele geçirmek için hiçbir çabadan kaçınmazlar. Storm-0558 gibi kaynakları iyi olan bu düşmanlar, hedefledikleri kuruluşlarla ilişkili ticari veya kişisel hesapları hedefleme arasında hiçbir fark göstermez.
Çin merkezli casusluk güdümlü bir düşman olarak tanımlanan Storm-0558, öncelikle istihbarat toplamak için e-posta sistemlerine erişim sağlamaya ve hassas sistemlerdeki verilere erişmek için kimlik bilgilerini kötüye kullanmaya odaklanıyor.
Azaltma Çabaları ve Soruşturma Zaman Çizelgesi
Microsoft’un proaktif araştırması, müşterilerden gelen anormal posta etkinliği raporlarının ardından 16 Haziran 2023’te başladı. Birkaç hafta boyunca, soruşturma Storm-0558’in yaklaşık 25 kuruluştan e-posta verilerine yetkisiz erişim elde ettiğini ortaya çıkardı.
Tehdit aktörü, sahte kimlik doğrulama belirteçleri ve edinilmiş bir Microsoft hesabı (MSA) tüketici imzalama anahtarı kullanarak hem kurumsal hem de ilişkili tüketici hesaplarına sızdı. Ancak Microsoft, etkilenen tüm müşteriler için risk azaltma sürecini başarıyla tamamladı ve başka erişim algılanmadı.
Koordineli Müdahale ve İşbirlikçi Çabalar
Etkilenen müşterilerle işbirliğiyle birleşen Microsoft’un gerçek zamanlı araştırması, Storm-0558’in izinsiz giriş girişimlerine karşı savunma yapmak için Microsoft Bulutu içinde korumaların hızla uygulanmasında çok önemli olduğunu kanıtladı.
Şirket, etkilenen müşterilerle derhal iletişime geçerek olay boyunca destek ve rehberlik sağladı. Durumun ciddiyetinin farkında olan Microsoft, koordineli bir yanıt sağlamak ve genel siber güvenlik direncini artırmak için İç Güvenlik Bakanlığı’nın Siber Güvenlik ve Altyapı Güvenliği Ajansı (DHS CISA) dahil olmak üzere ilgili devlet kurumlarıyla da ortaklık kurdu.
Götürmek
Gelişen siber tehdit ortamı, özellikle BT sistemlerindeki güvenlik açıklarından aktif olarak yararlanan Storm-0558 gibi devlet destekli aktörler söz konusu olduğunda sürekli olarak zorluklar yaratıyor. Artan endişelere ek olarak, son haftalarda Çin’den kaynaklanan karmaşık kötü amaçlı faaliyetlere ilişkin iki ek rapora tanık olundu.
23 Haziran’da Check Point’ten araştırmacılar, Camaro Dragon olarak da bilinen Çinli APT grubu Mustang Panda’nın casusluk amaçlı kötü amaçlı yazılım içeren hedefli bir kampanyasını bildirdi. Kampanya, USB sürücülerin kullanımı yoluyla özellikle Avrupa sağlık sektörünü hedef aldı.
Soruşturmalarına devam eden Check Point, 5 Temmuz’da Çinli tehdit aktörlerinin Avrupa hükümetlerini, büyükelçiliklerini ve dış politika yapımında yer alan kuruluşları hedef alma konusundaki artan ilgisini vurgulayan başka bir rapor yayınladı. Mustang Panda, SmugX adlı daha önce görülmemiş bir kötü amaçlı yazılım kullanarak kampanyanın arkasındaki grup olarak bir kez daha ortaya çıktı.
Yine de bu olay, kuruluşların sürekli gelişen dijital dünyada karmaşık tehditlere karşı korunmak için tetikte olmaları ve sağlam güvenlik önlemleri almaları konusunda sert bir hatırlatma görevi görüyor.
İLGİLİ MAKALELER
- Windows Logosunda Kötü Amaçlı Yazılım Gizleyen Çinli Bilgisayar Korsanları
- FortiOS’a Arka Kapı: Çinli Tehdit Aktörleri 0-Gününü Kullanıyor
- Çinli Bilgisayar Korsanları Group-IB Siber Güvenlik Firmasını Hedef Almaya Devam Ediyor
- Çinli Sharp Panda Group, SoulSearcher Kötü Amaçlı Yazılımını Ortaya Çıkardı
- Çinli Hackerlar Fortinet Ürünlerinde 0 Günlük Güvenlik Açığı Kullanıyor