Siber Suçlar, Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Savunmasız Küçük ve Orta Ölçekli Kuruluşlar Artık APT Aktörlerinin Gözde Kurbanları
Prajeet Nair (@prajeetspeaks) •
24 Mayıs 2023
Rusya, İran ve Kuzey Kore’den devletle bağlantılı bilgisayar korsanları, küresel olarak küçük ve orta ölçekli işletmeleri giderek daha fazla hedefliyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Proofpoint araştırmacıları, gelişmiş kalıcı tehdit aktörlerinin kimlik avı kampanyalarında güvenliği ihlal edilmiş KOBİ altyapısını kullanarak KOBİ’leri, hükümetleri, orduları ve büyük kurumsal varlıkları hedef aldığını tespit etti. Saldırganlar ayrıca, KOBİ finansal hizmet firmalarına karşı devletle uyumlu, finansal olarak motive edilmiş saldırılar ve KOBİ’leri etkileyen tedarik zinciri saldırıları başlatıyor.
Proofpoint, “Küçük ve orta ölçekli işletme altyapısının ikincil hedeflere, devletle uyumlu finansal hırsızlığa ve bölgesel MSP tedarik zinciri saldırılarına karşı kullanılmasından taviz verilmesi yoluyla, APT aktörleri bugün faaliyet gösteren KOBİ’ler için somut bir risk oluşturuyor” dedi.
Kanıt noktası tehdit araştırmacısı Michael Raggi, kimlik avı verilerinin KOBİ’lerin giderek devletle uyumlu siber saldırıların hedefi haline geldiğini gösterdiğini söyledi.
Raggi, APT aktörlerinin, sunabilecekleri istihbarat ve tedarik zincirinde temsil edebilecekleri daha yumuşak halkalar için kurumsal olmayan ölçekli kuruluşları hedef almanın değerini anladıklarını söyledi.
Raggi, “Proofpoint, takip ettiğimiz APT aktörlerinin tüm coğrafi gamından kaynaklanan, 2023 boyunca SMB hedeflemesinde sürekli bir artış görmeyi bekliyor” dedi.
Tehlikeli Altyapı
Proofpoint araştırmacıları ayrıca, geçen yıl içinde bir SMB web sunucusunu veya e-posta hesabını tehlikeye atan tehdit aktörlerini içeren, bir SMB alan adının veya e-posta adresinin kimliğine bürünme veya güvenliğinin aşılmasına ilişkin daha fazla örnek gözlemledi.
Araştırmacılar, “Bu tavizler, kimlik bilgileri toplama yoluyla veya bir web sunucusu söz konusu olduğunda, yama uygulanmamış güvenlik açığından yararlanma yoluyla elde edilmiş olabilir” dedi.
Başarılı bir güvenlik ihlalinin ardından, e-posta adresi hedeflere kötü amaçlı e-posta göndermek için kullanılır ve bir etki alanını barındıran bir web sunucusunun güvenliği ihlal edilirse, “tehdit aktörü daha sonra bu yasal altyapıyı kötü amaçlı kötü amaçlı yazılımları üçüncü taraf bir hedefe barındırmak veya iletmek için kötüye kullandı.”
Proofpoint daha önce Winter Vivern olarak da bilinen TA473’ün Kasım 2022’den Şubat 2023’e kadar kimlik avı kampanyalarında güvenliği ihlal edilmiş KOBİ altyapısını kullandığını tespit etmişti.
Grup ilk olarak Nisan 2021’de “Azerbaycan, Kıbrıs, Hindistan, İtalya, Litvanya, Ukrayna ve Vatikan”ı hedef alan kötü amaçlı belgeler kullanan bir kampanya tanımlayan DomainTools tarafından kamuoyuna ifşa edildi. Sistemdeki “wintervivern” adlı artık feshedilmiş bir dizine seslenen kötü amaçlı bir makroya dayanarak gruba “Winter Vivern” adını verdi. secure-daddy.com komut ve kontrol talimatlarını almak için dosya barındırma hizmeti.
Saldırılardan birinde tehdit aktörlerinin, Rusya’nın işgalini püskürtmek için Ukrayna ile çalışan Avrupa’daki askeri, hükümet ve diplomatik kuruluşların e-posta hesaplarını ele geçirmek için istismar edilen, kamuya açık, barındırılan yamasız Zimbra web posta sunucularını taradığı bulundu.
Proofpoint, TA473’ün e-posta göndermek için güvenliği ihlal edilmiş SMB altyapısını kullandığını ve kötü amaçlı yazılım yüklerini teslim etmek için SMB’lerin etki alanlarını kullandığını söyledi. Araştırmacılar, “Bu aktör, kimlik avı kampanyaları yoluyla kötü amaçlı yazılım dağıtmak için Nepal merkezli bir zanaatkar giyim üreticisinin ve ABD merkezli bir ortopedistin alan adlarını tehlikeye attı” dedi.
Araştırmacılar, Ocak-Mart 2023 arasında, bir kimlik avı kampanyasının parçası olarak, Suudi Arabistan merkezli otomobil imalat sektöründeki orta ölçekli bir işletmenin düzenli olarak kimliğine büründüğünü de gözlemledi.
Kimlik bilgilerini toplayan kimlik avı kampanyası, Amerika Birleşik Devletleri ve Ukrayna’daki özel e-posta adreslerini hedef aldı ve APT28 olarak da bilinen TA422’ye atfedildi.
Araştırmacılar, “Bu kampanya, Ukrayna kuruluşlarının Rus GRU bağlantılı kuruluşlar tarafından devam eden hedef alınmasını temsil ediyor, ancak ilginç bir şekilde ABD ve Avrupa’daki varlıkları hedef almak için Orta Doğu’daki bir varlığı taklit ediyor.”
Devletle Bağlantılı Finansal Hırsızlık
Araştırmacılar, APT aktörleri tarafından finansal olarak motive edilen saldırıların finansal hizmetler sektörü için kalıcı bir tehdit olmaya devam ettiğini gözlemledi. Kuzey Koreli tehdit aktörleri, fonları ve kripto paraları çalmak için finansal hizmet kurumlarını hedef almalarıyla biliniyor.
2019’da Birleşmiş Milletler, kripto para birimi ve çevrimiçi banka soygunlarının, Pyongyang’ın nükleer silahlar ve kıtalararası balistik füzeler geliştirmesine 2 milyar dolar yatırım yapmasını sağladığını tahmin etti (bkz:: Kuzey Kore Hacking Fonları KİS Programları, BM Raporu Uyarıyor).
Araştırmacılar, “Bu fonlar büyük ölçüde Kuzey Kore’nin hükümet operasyonlarının farklı yönlerini finanse etmek için kullanılıyor. Aralık 2022’de Proofpoint, Amerika Birleşik Devletleri’ndeki orta ölçekli bir dijital bankacılık kurumunun Kuzey Kore bağlantılı TA444’ten bir kimlik avı kampanyası aldığını gözlemledi” dedi ( Görmek: Kuzey Koreli Kripto Hacker’ları Grindstone’a Burnunu Tutuyor).
Tehdit aktörü, isabet oranını artırmak amacıyla kötü amaçlı bağlantılar göndermeden önce kurbanlarla etkileşim kurmak için LinkedIn gibi sosyal ağ platformlarını da kullanıyor. Önceki bir rapora göre TA444, İngilizce, İspanyolca, Lehçe ve Japonca’yı anladığını göstermiştir.
Tedarik Zinciri Saldırıları
2022 ile 2023 arasında gözlemlenen bir diğer önemli eğilim, tedarik zinciri saldırılarını başlatmak için savunmasız bölgesel yönetilen hizmet sağlayıcılarını hedefleyen artan APT düzeyidir.
Proofpoint araştırmacıları, bölgesel MSP’lerin yüzlerce KOBİ’yi koruduğunu, ancak APT aktörleri tarafından daha kolay istismar edilen sınırlı ve genellikle kurumsal düzeyde olmayan siber güvenlik savunmalarına sahip olduğunu söyledi. Araştırmacılar, “Bölgesel MSP’ler, APT aktörlerinin stratejik toplama gereksinimleriyle uyumlu olan coğrafyalardaki kimlik avı kampanyalarında hedefleniyor” dedi.
MuddyWater olarak da bilinen ve İran İstihbarat ve Güvenlik Bakanlığı’na atfedilen TA450 grubu, 2023 Ocak ayının ortalarında bir kimlik avı e-postası kampanyası yoluyla İsrail’in iki bölgesel MSP’sini ve BT destek işletmesini hedef aldı (bkz:: İran APT: Türkiye ve Arap Yarımadasını Hedef Almak İçin Yeni Yöntemler).
İsrailli orta ölçekli bir finansal hizmetler işletmesindeki güvenliği ihlal edilmiş bir e-posta adresinden gelen e-postalar, bulut barındırma sağlayıcısı OneHub’a bir bağlantı içeriyordu. Bu bağlantı bir kez tıklandığında, kurbanı Syncro uzaktan yönetim aracı için yasal bir yükleyici yürütülebilir dosyası içeren bir Zip arşivine yönlendiriyordu.
“Syncro, işletmelerde kullanılan meşru bir uzaktan yönetim aracı olsa da, bu bağlamda, hedef ana bilgisayara yüklendikten sonra, tehdit aktörleri uzaktan yönetim aracını bir uzaktan erişim Truva Atı gibi kullanabilir ve muhtemelen hem yerel araçlar ve tescilli kötü amaçlı yazılımlar,” dedi araştırmacılar.
Ayrıca, TA450’nin, savunmasız bölgesel MSP’lerden kaynaklanan tedarik zinciri saldırıları yoluyla alt akış KOBİ kullanıcılarına erişim elde etmek için bölgesel teknoloji sağlayıcılarını hedeflemekle ilgilendiğini söylediler.