Araştırmacı BushidoToken, Rus İleri Kalıcı Tehdit (APT) gruplarına odaklanan kapsamlı bir araç matrisini tanıttı.
Ransomware Tool Matrix’in başarısından ilham alan bu proje, Rusya devlet destekli bilgisayar korsanları tarafından yaygın olarak kullanılan araçları kataloglamayı ve analiz etmeyi amaçlıyor.
Girişimin amacı, savunmacıların bu grupların sıklıkla araçları tekrar kullanmasından yararlanarak saldırıları proaktif bir şekilde tespit edip engellemelerine yardımcı olmaktır.
Rus APT Araç Matrisi, GRU (Ana İstihbarat Müdürlüğü), SVR (Rusya Federasyonu Yabancı İstihbarat Servisi) ve FSB (Rusya Federasyonu Federal Güvenlik Servisi) ile bağlantılı çok çeşitli tehdit gruplarını içeriyor.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katıl
Projenin temel bulguları, bu grupların kullandığı çeşitli araç setlerini vurgulamaktadır:
- GRU İştirakleri: EMBER BEAR, FANCY BEAR ve Sandworm’un saldırıları için saldırgan güvenlik araçlarına (OST’ler) yoğun bir şekilde güvendiği bulundu. EMBER BEAR bu gruplar arasında en çok tarayıcıyı kullanan gruptu.
- SVR Ortakları: SVR’ye bağlı COZY BEAR, kullanılan farklı araçların toplam sayısının en yüksek olduğu grup olarak belirlendi. Turla ve COZY BEAR’ın ayrıca çeşitli araçlar ve platformlar kullanarak dışarı sızdığı gözlemlendi.
Analiz, 27’ye kadar farklı araç kaydedilen birden fazla Rus tehdit grubunda kamuya açık OST’lere önemli bir güven olduğunu ortaya koydu. Bu gruplar arasında en yaygın olarak paylaşılan araçlar şunlardır:
- Mimikakat: COZY BEAR, FANCY BEAR, BERSERK BEAR, Gamaredon ve Turla tarafından kullanılır.
- Etki: COZY BEAR, FANCY BEAR, EMBER BEAR, Sandworm ve BERSERK BEAR tarafından kullanılır.
- PsExec: COZY BEAR, EMBER BEAR, BERSERK BEAR, Gamaredon ve Turla tarafından kullanılmaktadır.
- Metasploit: FANCY BEAR, EMBER BEAR, Sandworm ve Turla tarafından kullanılır.
- ReGeorg: Özellikle COZY BEAR, FANCY BEAR, EMBER BEAR ve Sandworm tarafından kullanılır. Bir ağ tünelleme yardımcı programı olan ReGeorg, özellikle birden fazla Rus tehdit grubu tarafından kullanılması ve fidye yazılımı çetelerinde nadir bulunması nedeniyle dikkat çekicidir.
Bu araçların belirlenmesi, savunmacıların Rusya destekli bir tehdit grubunun saldırı gerçekleştirip gerçekleştirmediğini belirlemesine yardımcı olabilir.
Örneğin, ReGeorg ve diğer önemli araçlar, bir Rus tehdit grubunun dahil olma olasılığını artırıyor.
Bu araç matrisi, siber güvenlik uzmanları, olay müdahale ekipleri ve yönetilen tespit ve müdahale ekipleri için kritik bir kaynaktır.
Rus APT gruplarının kullandığı araç ve taktikleri anlayan kuruluşlar, kendilerini bu inatçı düşmanlara karşı daha iyi koruyabilirler.
Önemli Noktalar:
- Rus APT Grupları: Araç matrisi GRU, SVR ve FSB ile ilişkili tehdit gruplarını içerir.
- Yaygın Araçlar: Mimikatz, Impacket, PsExec, Metasploit ve ReGeorg, birçok Rus tehdit grubu tarafından yaygın olarak kullanılıyor.
- ReGeorg: Fidye yazılımı çetelerinde nadir görülen ancak Rus tehdit grupları tarafından yaygın olarak kullanılan bir ağ tünelleme aracı.
- Proaktif Savunma: Araç matrisi, Rus APT gruplarının araçları yeniden kullanmasından yararlanarak savunmacıların saldırıları tespit etmesine ve engellemesine yardımcı oluyor.
Siber güvenlik uzmanları bu araç matrisinden yararlanarak savunma stratejilerini geliştirebilir ve Rus APT gruplarının oluşturduğu tehditleri azaltabilirler.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial