Microsoft’a göre, dünya çapında eğitim kurumları, eşi görülmemiş bir siber saldırı dalgasıyla karşı karşıya kalıyor ve eğitim sektörü Microsoft’a göre, 2. çeyrekte en çok hedeflenen endüstri olarak sıralandı.
Bu endişe verici eğilim, tehdit aktörlerinin odağında stratejik bir değişim ortaya koyuyor, çünkü akademik ortamların doğasında var olan benzersiz güvenlik açıklarından giderek daha fazla yararlanıyorlar.
Nisan ve Eylül 2024 yılları arasında, eğitim kurumları sürekli olarak Çin’e uyumlu APT grupları tarafından en çok saldırıya uğrayan ilk üç endüstri arasında, Kuzey Kore’ye uyumlu aktörler için ilk iki ve hem İran hem de Rusya’ya uyumlu tehdit operatörleri için ilk altıda yer aldı.
.png
)
Bu krizin ölçeği, İngiltere ortaokullarının% 71’ini gösteren son istatistiklerle açık bir şekilde gösterilmiştir ve üniversitelerin% 97’si geçtiğimiz yıl ciddi güvenlik ihlalleri yaşadı – işletmelerde gözlenen% 50 oranından önemli ölçüde daha yüksek.
Amerika Birleşik Devletleri’nde, K12 Güvenlik Bilgi Borsası’na (altı) göre, durum eşit derecede korkunç görünmektedir ve 2016 ve 2022 yılları arasında okul günü başına birden fazla siber olay meydana gelir.
ESET araştırmacıları, eğitim kurumlarını özellikle çekici hedefler yapan mükemmel bir güvenlik açıkları fırtınası tespit ettiler.
Bunlar arasında binlerce kullanıcıyı birbirine bağlayan geniş, gözenekli ağlar, son derece para kazanılabilir kişisel ve araştırma verileri ve kritik olarak sınırlı güvenlik kaynakları bulunmaktadır.
Kombinasyon, hem finansal olarak motive edilmiş siber suçlular hem de fikri mülkiyeti hedefleyen devlet destekli casusluk kampanyaları için ideal koşullar yaratıyor.
Özellikle sofistike bir saldırı vektörü, karmaşık kaçırma tekniklerini kullanan gelişmiş kalıcı tehdit (APT) gruplarını içerir. İran’a hizalanmış grup balistik bobcat (APT35 veya nane kum fırtınası olarak da bilinir), özellikle eğitim ağlarını hedefleyen çok aşamalı saldırılar uygulanması gözlemlenmiştir.
Metodolojileri, tespitten kaçınmak için kötü amaçlı kodun meşru sistem süreçlerine eklendiği süreç enjeksiyon tekniklerini içerir.
İşlem enjeksiyon teknikleri
Tehdit oyuncusu saldırı zinciri, genellikle finansal yardım formları, park geçişleri veya idari bildirimler gibi meşru eğitim materyalleri gibi görünen iletişimde yer alan QR kodlarını kullanan özenle hazırlanmış kimlik avı kampanyalarıyla başlar.
İlk erişim sağlandıktan sonra, kötü amaçlı yazılım sofistike algılama kaçakçılığı taktikleri kullanır. ESET araştırmacıları, APT35 operatörlerinin zararsız sistem süreçlerine kötü amaçlı kod enjekte ettikleri ve uç nokta algılama ve yanıt (EDR) çözümlerini etkili bir şekilde atladığı vakaları belgelediler.
Bu teknik, enjekte edilen kod, güvenlik çözümlerinin genellikle güvendiği meşru süreçler bağlamında çalıştığı için, tespit edilmemiş kalırken, tespit edilmemiş kalırken kalıcılık oluşturmasına izin verir.
Kötü amaçlı yazılım, gizliliği korumak, hassas araştırma verilerini açıklamak ve potansiyel olarak ABD eğitim kurumlarına 2018’den bu yana tahmini 2,5 milyar dolarlık kesintiye mal olan fidye yazılımı yüklerini dağıtmak için birlikte çalışan çoklu modüler bileşenler kullanır.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial