Rus bilgisayar korsanları ve APT grupları siber saldırıları artırıyor, hazır kötü amaçlı yazılımlardan yararlanıyor ve hedeflerini hükümetlerin ötesine taşıyor. Parlama noktası araştırmacıları bu gelişen taktikleri ve kuruluşunuzu nasıl koruyacağınızı ortaya koyuyor.
Bu hafta başında İran’daki devlet destekli grupların büyük çaplı saldırılar için işbirliği yaptığına ve Rusya’da da benzer faaliyetlerin gerçekleştiğine dair raporlar ortaya çıktı. Flashpoint’teki araştırmacıların son raporlarında, Ukrayna-Rusya Savaşı devam ederken, Rusya’daki Gelişmiş Kalıcı Tehdit (APT) gruplarının TTP’lerini ve kötü amaçlı yazılımlarını uyarladığı, birçok dağıtım tekniğini paylaştığı ve özel yükler yerine ücretli araçlar kullandığı ortaya çıktı.
Araştırmacılar, son dönemdeki hedef odaklı kimlik avı kampanyalarında Taktikler, Teknikler ve Prosedürlerde (TTP’ler) tehlikeli derecede hızlı bir karmaşıklık olduğunu ve yasa dışı çevrimiçi pazarlarda kolayca bulunabilen kötü amaçlı yazılımların tespit edilmesini zorlaştırdığını keşfettiler.
Geleneksel olarak hükümeti ve siyasi oluşumları hedef alan bu gruplar artık gözlerini daha geniş bir yelpazedeki mağdurlara dikiyor. Bu saldırıların ardındaki motivasyonlar casusluk ve istihbarat toplamaktan mali kazanca kadar değişebilir.
Flashpoint analistleri, 2024 yılında APT28, APT29, Gamaredon, Gossamer Bear, UAC-0050 ve UAC-0149 dahil olmak üzere çeşitli Rus APT gruplarının kampanyalarını inceledi. İşte onların faaliyetlerine kısa bir genel bakış.
APT28, Windows sistemlerini hedef alan arka kapıları barındırmak için ücretsiz barındırma sağlayıcılarını kullanarak Belarus, Polonya ve ABD dahil olmak üzere birçok ülkede devlet kuruluşlarını taklit ediyor. APT29, BURNTBATTER, DONUT ve Wineloader dahil olmak üzere indiricileri ve indiricileri kullanırken APT44 ile ilişkili bilgisayar korsanları çoğunlukla araştırmacı gazetecileri hedef alır.
Rusya-Ukrayna savaşının en aktif grubu olan Gamaredon, kötü amaçlı belgeler ve kötü amaçlı yazılımlar kullanıyor. Gossamer Bear Ukrayna ve NATO ülkelerini hedef alırken, UAC-0050 Ukrayna ve Polonya hükümet kuruluşlarını hedef alıyor. UAC-0149, Signal Messenger aracılığıyla kimlik avı girişimleri başlatmasının ardından Şubat 2024’te manşetlere çıktı.
Araştırmacılar ayrıca Rus APT’lerinin öldürme zincirini de araştırdılar ve bunların kötü amaçlı kod yürütmek için çoğunlukla ROOTSAW ve WINELOADER gibi HTML tabanlı dropper’lara güvendiklerini keşfettiler. Ayrıca bilgi hırsızları, ticari amaçlı kötü amaçlı yazılımlar kullanıyor veya komuta ve kontrol için güvenliği ihlal edilmiş web sitelerini kullanıyorlar. NTLM hash çalma, Rus APT grupları tarafından sıklıkla kullanılan bir başka yöntemdir.
Flashpoint raporunda, Rus APT’lerinin gelişen TTP’lerini öne çıkaran birçok kötü şöhretli kampanyaya dikkat çekti. Örneğin, 2023 yılındaki bir kampanyada APT29, hedef odaklı kimlik avı girişimlerinde şaşırtıcı derecede altı benzersiz yükleyici kullandı. Ajan Tesla, Remcos, Smokeloader, Snake Keylogger ve Guloader, hedef odaklı kimlik avı kampanyalarında kullanılan en yaygın kötü amaçlı yazılım aileleriydi.
Kuruluşlar, HTML ve.HTA dosyalarının anormal alt süreçlerini inceleyerek, web proxy’sindeki indirmeleri tespit ederek, DLL yan yükleme tespitlerini uygulayarak ve sahte API hizmetleri için ağ günlüklerini inceleyerek kendilerini koruyabilirler.
İLGİLİ KONULAR
- Microsoft Yöneticilerinin E-postaları Rusya’daki Hackerlar Tarafından İhlal Edildi
- Rus Midnight Blizzard Microsoft Kaynak Kodunu İhlal Etti
- Rus APT28, GooseEgg Aracıyla Windows Güvenlik Açıklarını Kötüye Kullanıyor
- Rus Bilgisayar Korsanları Veri ve Botnet Oluşturma Amaçlı Ubiquiti Yönlendiricilerini Hedefliyor
- Rus Bilgisayar Korsanları Siyasi ve Askeri Bilgiler İçin Avrupa’daki Posta Sunucularını Vurdu