Dünya çapında devlet kurumları, eşi görülmemiş bir siber saldırı dalgasıyla karşı karşıyadır ve rakipler kritik altyapıyı ihlal etmek ve hassas verileri çalmak için gelişmiş taktikler kullanırlar.
Herhangi bir Analiz Edilen Vaka Çalışmaları, RUN kötü amaçlı yazılım analiz platformu, saldırganların kimlik avı, etki alanı sahtekarlığı ve hedef kamu sektörü kuruluşlarına kötü niyetli belge sunumunu nasıl kullandıklarını ortaya koymaktadır.
Bu olaylar, teknik uyanıklık ve modern tehdit tespit stratejilerine acil ihtiyacı vurgulamaktadır.
.png
)
Saldırı vektörleri ve algılama
Rapora göre, en yaygın saldırı vektörlerinden biri kimlik avı e -postaları olmaya devam ediyor.
Örneğin, Güney Carolina İstihdam ve İş Gücü Bakanlığı, 163.com alan adından sahte bir kimlik avı e -postası tarafından hedeflendi.
E -posta, FormBook Infostealer olarak işaretlenen yürütülebilir bir şekilde açılan bir fermuar eki olan “Alıntı.zip” içeriyordu.
FormBook, kimlik bilgilerini, ekran görüntülerini ve tuş vuruşlarını açıklayan ve ek yükler indirebilen gelişmiş bir Hizmet Olarak Kötü Yazılım (MAAS) aracıdır.
Herhangi birinde teknik analiz.
- Kimlik avı e -postası SPF, DKIM ve DMARC kontrollerini başarısızlığa uğratarak gönderen kimlik sahasını gösterdi.
- “Alıntı.exe” eki hemen davranışsal imzalarla işaretlendi.
- Suricata kurallarını kullanarak ağ trafik analizi, özellikle kötü amaçlı yazılım tarafından kullanılan HTTP başlıklarını tespit ederek Formbook’un etkinliğini doğruladı.
- Kötü amaçlı yazılımların yürütme zinciri, MITER ATT & CK teknikleri T1552.001 (dosyalardaki kimlik bilgileri) ve T1518 (yazılım keşfi) 1 ile eşleştirildi.
Tespit için örnek yara kuralı
Yara kuralları kötü amaçlı yazılım kalıplarını tanımlamada etkilidir.
Basitleştirilmiş bir örnek hedefleme form kitabı şöyle görünebilir:
textrule FormBook_Executable
{
meta:
description = "Detects FormBook executable by unique string patterns"
strings:
$s1 = "FormBook"
$s2 = "Software\\Microsoft\\Windows\\CurrentVersion\\Run"
condition:
any of ($s*)
}
Bu kural, erken algılamayı otomatikleştirerek bilinen göstergeler için ekleri ve dosyaları taramak için kullanılabilir.
Etki Alanı Sahtekarlığı ve Uzaktan Erişim Araçları
Saldırganlar ayrıca meşru hükümet sitelerini taklit eden alan adlarını da kaydediyor.
Yakın tarihli bir kampanya hileli bir alan, belgeler[.]com, ABD Sosyal Güvenlik İdaresi’ni taklit ediyor.
Şüphesiz kullanıcılara, yürütme üzerine screenconnect uzaktan yönetim aracını dağıtan ve saldırganların sürekli uzaktan erişim elde etmesini sağlayan bir belge olarak gizlenmiş bir dosya indirmeleri istendi.
Suricata ağ analizi olağandışı bağlantı noktası bağlantıları tespit etti ve sanal alan hızlı triyaj için saldırı zincirini görselleştirdi.
Kötü niyetli PDF’ler ve kimlik bilgisi hasat
Bir diğer dikkate değer taktik, Güney Afrika yargısına yapılan bir saldırıda görüldüğü gibi kötü niyetli PDF’lerin kullanılmasıdır.
PDF, floppyshare’de barındırılan ve kimlik bilgilerini toplamak için sahte bir Microsoft 365 oturum açma formu sunan bir kimlik avı sayfasına bağlanan bir düğme içeriyordu.
Run’un sanal alanının PDF’yi gömülü kimlik avı dili ve bağlantı analizine göre işaretledi.
Bu PDF’lerden görüntü karmalarının çıkarılması, analistlerin TI arama aracını kullanarak benzer kampanyaları tanımlamasına izin verdi.
Öneriler ve otomasyon
Bu gelişen tehditlere karşı koymak için güvenlik ekiplerine şunlar tavsiye edilir:
- Ajans alanlarına hedeflenen tehdit avı için Yara kurallarını dağıtın.
- Şüpheli dosyaların ve URL’lerin gerçek zamanlı davranışsal analizi için etkileşimli sanal alan entegre.
- Kötü niyetli IP’ler, alanlar ve karmalar gibi uzlaşma göstergelerini (IOC’ler) toplamak ve engellemek için tehdit istihbarat arayışlarından yararlanın.
- TI beslemelerini mevcut güvenlik altyapısıyla entegre ederek algılama ve yanıt iş akışlarını otomatikleştirin.
- Kimlik avı taktiklerini ve sahtekarlık alanlarını tanımak için düzenli personel eğitimi alın.
Devlet kurumları üzerindeki siber saldırıların teknik manzarası hızla gelişmektedir, saldırganlar sosyal mühendislik, kötü amaçlı yazılım sunumunu ve alan taklitini harmanlayan çok yönlü stratejiler kullanırlar.
Any.Run gibi platformlar, Yara ve Suricata gibi proaktif algılama araçlarıyla birleştiğinde, siber güvenlik ekiplerine gerçek zamanlı olarak tehditleri tespit etmelerini, analiz etmelerini ve azaltmasını sağlayarak kritik kamu sektörü altyapısını korur.
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun