Özetle:
- Rapor, 2024 yılının ilk çeyreğini kapsıyor ve Kimsuky veya SharpTongue adlı Kuzey Koreli bir hacker grubunun, Güney Kore’deki bir tedarik zinciri saldırısında Golang merkezli arka kapı Durian’ı kullandığını gösteriyor.
- Orta Doğu’da Gelsemium ve Careto gibi grupların da aralarında bulunduğu APT kampanyalarının arttığı görülürken; Hacktivizm, Filistin ve İsrail çatışmasının ortasında da galip geldi.
- Raporda ayrıca tehdit aktörlerinin sosyal mühendisliği kullanmaya devam ettiği ve APT kampanyalarının yeni sektörlere ve coğrafi bölgelere genişlemeye devam ettiği vurgulanıyor.
Siber Casusluk, Hacktivizm ve APT’ler
2024’ün ilk çeyreği, ulus devlet aktörlerinin ve bilgisayar korsanlarının hedeflerini genişletmesi ve tekniklerini geliştirmesiyle karmaşık siber saldırılarda bir artışa tanık oldu. Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), karmaşık ve giderek artan siber güvenlik tehditlerini ortaya koyan üç aylık APT etkinlik özetini yayınladı.
Geçmişin Hayaletleri, Günümüzdeki Yeni Hileler:
2013’ten bu yana sessiz kalan ünlü Careto (İngilizce Maske) APT grubu, “FakeHMP”, “Careto2” ve “Goreto” gibi gelişmiş araçlarla yüksek profilli kuruluşları hedef alarak yeniden ortaya çıktı. Yenilikçi taktikleri arasında gizli kalıcılık için MDaemon e-posta sunucuları ve HitmanPro Alert sürücüsü gibi meşru yazılımlardan yararlanmak yer alıyor.
Bu arada, sunucu tarafı açıkları ve web kabuklarıyla tanınan Gelsemium, “SessionManager” ve “OwlProxy” gibi gizli implantları dağıtmaya devam ediyor. Son kampanyalar, yükleri yazı tipi dosyaları olarak gizleyerek Filistin, Tacikistan ve Kırgızistan varlıklarını hedef aldı.
Orta Doğu’daki Canavarlar
Orta Doğu APT faaliyetlerinin merkezi haline geldi. Yeni keşfedilen “DuneQuixote” adlı kampanya, meşru “Total Commander” yazılımı için hileli yükleyiciler kullanan devlet kurumlarını hedef aldı. Bu “damlalıklar”, grubun karmaşık kaçınma tekniklerini sergileyen “CR4T” arka kapısını sundu.
Daha önce BT hizmet sağlayıcılarını hedef aldığı gözlemlenen İran destekli Oilrig APT, odağını Orta Doğu’daki bir internet hizmet sağlayıcısına kaydırdı. Grup, uzaktan komut yürütme ve veri hırsızlığı için .NET tabanlı “SKYCOOK” implantının yanı sıra otomatik kısayol tuşu tabanlı bir keylogger’ı da kullandı.
Güneydoğu Asya ve Kore Yarımadası
Hintçe konuşan bir tehdit aktörü olan DroppingElephant (“Patchwork” veya “Chinastrats” olarak da bilinir), kötü amaçlı .DOC ve .LNK dosyaları aracılığıyla Spyder arka kapısını ve Remcos RAT’ı sunmak için DISCORD CDN ağını kullanarak Güney Asya varlıklarını hedeflemeye devam ediyor.
Kuzey Kore devlet destekli grup Kimsuky veya SharpTongue, Güney Koreli kripto para birimi şirketlerini hedef alan bir tedarik zinciri saldırısı yoluyla “Durian” adlı yeni bir Golang tabanlı arka kapı kurdu.
Grup, ilk enfeksiyon vektörü için özellikle Güney Kore’ye özel meşru yazılımdan yararlandı. Durian’ın yetenekleri arasında komut yürütme, dosya indirme ve dışarı sızma yer alıyor.
İlginç bir şekilde, Kimsuky’nin “LazyLoad” proxy aracını kullanması, kötü şöhretli HBO veri ihlalinin arkasında yer alan Andariel grubuyla (aynı zamanda “Barışın Koruyucuları” APT olarak da bilinir) olası bir bağlantı veya işbirliğine işaret ediyor ve bu da olaya başka bir karmaşıklık katmanı ekliyor. Bölgenin siber güvenliği.
Hacktivizm Yükselişte:
İsrail-Hamas çatışması, SiegedSec gibi grupların yıkıcı saldırılar başlatması ve hassas bilgileri sızdırmasıyla hacktivist faaliyet dalgasını körükledi. Sosyal adalet gündemiyle tanınan SiegedSec, şirketleri ve hükümet altyapısını hedef aldı ve hatta diğer siber suç gruplarıyla işbirliği yaptı.
Hackread.com, Stalkerware uygulaması TheTruthSpy’ın veri ihlali, NATO ihlali ve INL (Idaho Ulusal Laboratuvarı) çalışanlarının PII veri sızıntısı da dahil olmak üzere SiegedSec’in bazı siber saldırılarını bildirdi.
Hedeflerin Genişletilmesi ve Platformlar Arası Gelişim:
Daha önce İtalya’daki bireyleri Android cihazlar aracılığıyla hedef alan Spyrtacus kötü amaçlı yazılımı artık bir Windows sürümünü de içerecek şekilde gelişti. Kanıtlar, grubun operasyonlarını Avrupa, Afrika ve Orta Doğu’daki diğer ülkelere genişletiyor olabileceğini gösteriyor ve bu da platformlar arası kötü amaçlı yazılım geliştirme eğiliminin arttığını gösteriyor.
Korumalı kalın!
2024’ün ilk çeyreği siber güvenliğin tehlikelerinin hafife alınamayacağını gösteriyor. Sosyal mühendislik baskın bir taktik olmaya devam ederken, APT grupları sürekli olarak yenilikler yapıyor ve erişim alanlarını genişletiyor.
Kuruluşlar ve bireyler tetikte kalmalı, kendilerine özgü tehdit profillerini anlamalı ve risklerini azaltmak için uygun güvenlik önlemlerini uygulamalıdır. Odaklanılması gereken bir diğer alan ise, özellikle rapor edilen siber saldırıların çoğunun basit kimlik avı dolandırıcılıkları yoluyla gerçekleştiği göz önüne alındığında, çalışanlara yönelik siber güvenlik eğitimine duyulan ihtiyaçtır.