ESET uzmanları, Sandworm’un yeni veri silecek, istenmeyen kitapçı tarafından yapılan acımasız kampanyaları, araç paylaşımı ortasında atıf zorluklarını ve en son APT etkinlik raporundan diğer temel bulguları tartışıyor
01 Tem 2025
•
–
2 dk. Okumak
Son bölümünde ESET Research PodcastESET Seçkin Araştırmacı Aryeh Goretsky, ESET’in APT Etkinlik Raporu’ndan kilit bulguları incelemek için ESET Güvenlik Bilinçlendirme Uzmanı Rene Holt’a katılıyor.
İlgi odasına adım atan ilk aktör, “P” ni gerçekten Apt’e koyan bir kalıcılık seviyesi gösteren Çin’e hizalanmış bir APT grubu olan istenmeyen kitapçı. Bu grup aynı organizasyonu birkaç yıl boyunca üç kez hedef aldı ve imza arka kapısı Marssnake’i dağıtmaya çalıştı. Bu örnek, hedeflerine ulaşmak için hiçbir şeyde durmayacak belirli grupların acımasız odağını vurgulamaktadır.
Konuşma daha sonra, özellikle Worok gibi Çin uyumlu aktörler arasında, özellikle takım paylaşımı eğilimiyle, atıf zorluklarına geçiyor. Taktikleri, dijital çeyrek yöneticilerinden kaynaklanan örtüşen araç setlerini kullanarak suları çamurlamak, faaliyetlerini Luckymouse ve TA428 gibi diğer gruplarla iç içe geçmiş.
Rusya’ya hizalanan aktörlere dönen tartışma, Sednit, Gamaredon ve Sandworm gibi gruplara odaklanıyor. Sednit’in son etkinliği Roundpress Operasyonu etrafında dönüyor– Başlangıçta popüler WebMail Service Roundcube’yi hedef aldı, ancak son zamanlarda Horde, MDaemon ve Zimbra gibi diğer platformlara genişledi. Sednit, hedeflenen e-postaları kullanıyor, bu hizmetlerde kusurlardan yararlanıyor ve Bulgaristan ve Ukrayna’da bulunan savunma şirketlerine saldırı için siteler arası komut dosyası kullanıyor.
Gamaredon, Ukrayna’daki en aktif APT’lerden biri olmaya devam ediyor ve tespitin önünde kalmak için sürekli gizleme tekniklerini sürekli değiştiriyor. Bu arada, Sandworm, Veri Dayanan Kötü Yazılım kullanımını yoğunlaştırdı ve son altı ay içinde Zerolot adlı yeni bir silecek kullandı. Bu silecek, tüm sistemi hemen almadan belirli dosyaları ve dizinleri silerek cerrahi hassasiyetle çalışır – kötü amaçlı yazılımın yıkıcı görevini tamamlayabilmesini sağlayan bir yaklaşım.
Aryeh ve Rene de Kuzey Kore’ye hizalanmış ve İran’a hizalanmış grupların faaliyetlerini araştırıyor. Daha fazla ayrıntı ile ilgileniyorsanız, ESET Research podcast’in bu bölümünü dinlediğinizden veya en son ESET APT etkinlik raporunu indirdiğinizden emin olun.
Tartışılan konular:
UnsuredBooker (Marssnake) 1:45
Worok (ve dijital çeyrek yöneticileri) 4:50
Sednit (Operasyon Roundcube) 9:55
Gamaredon 13:55
Sandworm (Zerolot silecek) 16:15
Alınan Geliştirme (Weaselstore, ClickFix) 24:10
Muddywater vs Lyceum 29:40