Orta Doğu ve Türkiye’de on yılı aşkın süredir faaliyet gösteren kötü şöhretli OilRig Advanced Persistent Threat (APT) grubu. OilRig APT, siber casusluk amaçlarıyla Orta Doğu, Türkiye ve Afrika’daki yüksek profilli devlet kurumlarını hedef almasıyla tanınır.
yıllık Siber Güvenlik Hafta Sonu 2023 Yakın zamanda Kazakistan’ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika için Kaspersky araştırmacıları, OilRig APT grubu tarafından geliştirildiği varsayılan yeni bir kötü amaçlı yazılımın gerçekleştirdiği bir dizi saldırı keşfettiğini duyurdu.
OilRig APT, genellikle sosyal mühendislik taktikleri kullanır, kurbanlarındaki yazılım ve teknik güvenlik açıklarından yararlanır.
Ancak uzmanlar, OilRig APT grubunun cephaneliğini güncelleyerek, üçüncü taraf BT şirketleri aracılığıyla hedeflerine sızmak için ısrarcı, daha sinsi yollara başvurduğunu fark ettiler.
OilRig APT Soruşturması
2022’nin sonlarında başlayan devam eden bir soruşturma sırasında uzmanlar, OilRig APT grubunun kimlik bilgilerini ve hedefleriyle ilgili hassas verileri toplamak üzere bölgedeki BT şirketlerindeki terminal sunucularına erişim elde etmek için PowerShell komut dosyalarını çalıştırdığını keşfetti.
Grup, çalınan bilgileri hedeflerine sızmak ve Komuta ve Kontrol (C2) iletişimlerini gerçekleştirmek ve veri çalmak için Microsoft Exchange Web Hizmetlerine dayanan kötü amaçlı yazılım örneklerini dağıtmak için kullandı.
İncelenen kötü amaçlı yazılımın, tehdit aktörü tarafından kullanılan daha eski bir kötü amaçlı yazılımın bir çeşidi olduğu ortaya çıktı.
Kalıcı gizli erişim sağlamak için, OilRig APT grubu, yerel/etki alanı parola değişikliklerini engellemelerini sağlayan yeni bir DLL tabanlı parola filtresi kullandı.
Bu, saldırganların, hedeflerinin e-posta hizmetlerinden saldırgan kontrolündeki Protonmail ve Gmail adreslerine gönderilen diğer çalıntı ve hassas verilerle birlikte güncellenmiş parolaları almasına olanak sağladı.
“OilRig, üçüncü taraf BT şirketlerini istismar etmek için karmaşık ve büyük ölçüde değiştirilmiş taktikleri, teknikleri ve prosedürleriyle “gizli mod”un anlamını bir sonraki seviyeye taşıyor.” Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout şunları söyledi:
Araştırmamızdan, üçüncü taraf saldırılarının diğer taktiklere kıyasla daha sinsi, çevik ve tespit edilmeden kaldığı ve bu bölgedeki devlet kurumlarının işleyişine yönelik ciddi bir risk oluşturduğu açıktır.
Bir tedarik zincirinin parçası olan BT şirketlerine sızma yönündeki radikal değişim, bölgesel hükümet kuruluşlarının siber güvenlik oyunlarını hızlandırdığının ve APT gruplarını sıra dışı düşünmeye ittiğinin bir göstergesidir.
Araştırmacılar, hükümetlere ve işletmelere aşağıdaki ipuçlarını izlemelerini ve kendilerini üçüncü taraf tedarik zinciri saldırılarının kurbanı olmaktan korumalarını tavsiye ediyor:
- Verileri ve varlıkları kuruluşunuzun parametrelerinin ötesinde koruyan bütünsel, iyi entegre edilmiş bir siber güvenlik yaklaşımına yatırım yapın ve oluşturun.
- Tehdit İstihbaratından yararlanmak çok önemlidir. Tehdit İstihbaratı Portalı gibi çözümlerin kullanılması, BT ekiplerini gerçek zamanlı veriler ve içgörülerle donatabilir ve güçlü bir savunma oluşturmak için zengin bir uzmanlık kaynağına erişim sağlayabilir.
- Kuruluşunuz içinde bir sızma testi yapın ve üçüncü taraf hizmet sağlayıcılarınızı dışarıda bırakmayın.
- Siber savunmanız, ilk savunma hattı olarak kabul edilen çalışanlarınız kadar güçlü. Her büyüklükteki şirket için siber farkındalık eğitimini otomatikleştiren Otomatik Güvenlik Farkındalık Platformu gibi çözümlerle onları doğru bilgilerle donatın.
Verilerinizi düzenli olarak yedekleyin ve bütünlüğü korumak için zaman zaman tarayın.