Tek bir saldırıda çeşitli müşterilerin sistemlerine ve verilerine erişim elde etmek için bilgisayar korsanları sıklıkla BT hizmet sağlayıcılarını hedef alır.
Stratejileri, tek bir giriş noktasından birden fazla kuruluşla uzlaşmalarına olanak tanıyarak çabalarının etkisini en üst düzeye çıkarmalarına olanak tanır.
Hunt & Hackett’taki siber güvenlik araştırmacıları yakın zamanda Türk casusluk APT grubu Sea Turtle’ın BT hizmet sağlayıcılarına saldırmak için bilinen güvenlik açıklarından aktif olarak yararlandığını keşfetti.
MOVEit SQLi, Zimbra XSS gibi sıfır gün güvenlik açıkları ve her ay keşfedilen 300’den fazla güvenlik açığı sorunu daha da karmaşık hale getiriyor. Bu güvenlik açıklarının düzeltilmesindeki gecikmeler uyumluluk sorunlarına yol açar; bu gecikmeler, AppTrana’daki 72 saat içinde “Sıfır güvenlik açığı raporu” almanıza yardımcı olan benzersiz bir özellik ile en aza indirilebilir.
Ücretsiz Kayıt Ol
Deniz Kaplumbağası APT Grubu
Sea Turtle APT grubu 2017 yılından bu yana faaliyet gösteriyor ve DNS ele geçirmeyle tanınıyor; tespit edilmekten kaçınmak için uyum sağlar.
Microsoft, tespit edilmekten kaçınarak Ekim 2021’de Türkiye’nin çıkarlarına uygun olarak SILICON’u ifşa etti. Sadece bu da değil, 2022’de bile Yunanistan Ulusal CERT IOC’leri paylaştı.
Hassas veriler için Deniz Kaplumbağası aşağıdaki alanları hedefler:-
- Avrupa
- Orta Doğu
- Kuzey Afrika
Aşağıda, hedeflenen tüm sektör ve kuruluşlardan bahsettik: –
- Hükümet organları
- Kürt grupları
- STK’lar
- Telekom
- İSS’ler
- BT
- Medya
Başarılı saldırılar gözetleme ve istihbarat toplamaya yardımcı olur. Deniz Kaplumbağası, veri çıkarmak için ters kabuk kullanarak internet trafiğini keser.
Araştırmacılar, Deniz Kaplumbağası’nın Hollanda’daki kampanyalarını da takip etti ve Türkiye’nin çıkarları açısından öncelikle aşağıdaki iki temel şeye odaklandıklarını keşfetti: –
- Ekonomik casusluk
- Siyasi casusluk
Hollanda’daki son kampanyalar aşağıdakileri hedefliyor: –
- Telekom
- Medya
- İSS’ler
- Kürtçe web siteleri
Deniz Kaplumbağası, politik amaçlı bilgi toplamak için tedarik zinciri saldırıları kullanıyor. Çalınan veriler muhtemelen belirli gruplara ilişkin gözetim veya istihbarat amacıyla kullanılıyor.
Hunt & Hackett, 2023’ün başlarında Deniz Kaplumbağası’nın birden fazla kuruluşu hedef alan son kampanyalarını belirledi. Bir saldırıda uzmanlar, tehdit aktörünün bir cPanel hesabını ele geçirdiğini ve erişim için bir VPN kullandığını tespit etti.
Bir WebMail oturumu oluşturdular ve bir barındırma sağlayıcısının IP’sinden SSH oturum açma işlemleri gerçekleştirdiler. ‘C’ programlama dili ters kabuğunun kaynak kodu dosyaları, bilinen bir Deniz Kaplumbağası GitHub deposundan indirildi ve derlendi.
PwC, SnappyTCP ters kabuğunu kullanarak bunu bağımsız olarak Deniz Kaplumbağası’na bağladı ve burada SnappyTCP, bir Deniz Kaplumbağası sunucusundan indirildi (http[://]193.34.167[.]245/c00n/bağlantı.c).
Aktör bir komuta ve kontrol kanalı kurdu, adli tıp karşıtı önlemler aldı ve ele geçirilen cPanel hesabına yeniden bağlandı.
Belirli koşullar karşılanırsa SnappyTCP kötü amaçlı yazılımı aşağıdakileri yapar: –
- Bir yapılandırma dosyasını okur
- ‘sy.php’ istek URI’si ile bir HTTP GET gerçekleştirir
- Ters bir kabuk üretir
Bu arada, C&C kanalı muhtemelen sunucuda bulunan özelliklerle eşleşen Socat’ı içeriyor.
Öneriler
Siber güvenlik analistlerinin sunduğu tüm önerilerden aşağıda bahsettik: –
- Ağ bağlantılarını, süreçleri ve hesap etkinliğini izlemek için EDR’yi dağıtın; Günlükleri merkezi olarak saklayın.
- Güçlü bir şifre politikası uygulayın.
- Depolama için daima bir sır yönetim sistemi kullanın.
- Oturum açma girişimlerini sınırlayın.
- Harici hesaplarda 2FA’yı etkinleştirin.
- Güvenlik açıklarını en aza indirmek için yazılımı güncel tutun.
- SSH erişimini kısıtla
- SSH oturum açma hızı sınırını uygulayın.
- Kötü niyetli trafiği engellemek için çıkış ağı filtrelemesini uygulayın.
Dijital sistemlerin güvenlik durumunu değerlendirmek ve değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini ücretsiz deneyin