Bilgisayar korsanları, saldırılarını gerçekleştirmek için açık kaynaklı araçları kullanırlar; çünkü bunlar kolayca erişilebilir, iyi belgelenmiştir ve genellikle geniş bir topluluk desteğine sahiptir, bu da bunların değiştirilmesini ve dağıtılmasını kolaylaştırır.
Bunun yanı sıra, açık kaynaklı araçlar tespit edilmekten kaçınmak, görevleri otomatikleştirmek ve mevcut güvenlik açıklarından yararlanmak üzere özelleştirilebilir ve böylece tehdit aktörlerinin karmaşık saldırıları etkili bir şekilde gerçekleştirmesine olanak tanır.
Recorded Future’ın Insikt Group’u, dünya çapında yüksek profilli kuruluşları hedef alan TAG-100 adı verilen yeni bir siber casusluk kampanyasını ortaya çıkardı.
Grup, internete bağlı cihazlardan yararlanıyor ve Pantegana arka kapısı gibi açık kaynaklı araçlar kullanıyor. Bu trend, PoC istismarlarının açık kaynaklı çerçevelerle birleştirilmesini içeren silahlı bir eğilim.
Yapay Zeka Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz demo
Böyle bir yaklaşım, daha az yetenekli aktörlerin girişini kolaylaştırırken, daha gelişmiş grupların izlerini gizlemelerine olanak sağlıyor.
Ancak, internet bağlantılı cihazlardaki güvenlik açıklarını gidermeye yönelik küresel çabalara rağmen yalnızca birkaç güvenlik önlemi alındığından, saldırganlar için çekici olmaya devam ediyorlar.
Araştırmacılar, mağdur örgütlerinin şu ülkelerde bulunduğunu tespit etti:
- Kamboçya
- Cibuti
- Dominik Cumhuriyeti
- Fiji
- Endonezya
- Hollanda
- Tayvan
- Birleşik Krallık
- Birleşik Devletler
- Vietnam
Kurumlara yapılan öneriler arasında istihbarat odaklı yamaların işlevsel hale getirilmesi, saldırı yüzeylerinin artırılması ve derinlemesine savunma önlemlerinin güçlendirilmesi yer alıyor.
Devlet destekli aktörler tarafından vekalet gruplarıyla sözleşme yapılarak açık kaynaklı araçlar daha sık kullanılmaya devam edilecek ve bu durum genel olarak siber tehditlerin artmasına yol açacak.
Siber casuslardan oluşan TAG-100 grubu, Şubat 2024’ten bu yana hükümetlerden hükümetler arası ve özel sektöre kadar on ülkedeki kuruluşlara saldırı düzenliyor.
Araştırmacılar, çetenin Citrix NetScaler, Zimbra ve Microsoft Exchange gibi çeşitli internet bağlantılı cihazları kullandığını tespit etti.
Dikkat çeken hedefler arasında Güneydoğu Asya ve Okyanusya’daki hükümetlerarası örgütler, dışişleri bakanlıkları, elçilikler, dini gruplar ve yarı iletken şirketleri yer alıyor.
Mart ayına kadar TAG-100 en az on beş ülkedeydi ve büyük ölçüde Küba Büyükelçiliklerine odaklanılmıştı. Nisan ayındaki CVE-2024-3400 exploit sürümüyle örtüşerek Palo Alto Networks GlobalProtect cihazlarını hedef aldılar.
Bu grubun Zimbra (CVE-2019-9621) için kullanılanlara benzer kamuya açık istismarlara güvenmesi, siber casusluk alanındaki inisiyatiflerini ortaya koyuyor.
TAG-100, Pantegana, SparkRAT, LESLIELOADER, Cobalt Strike ve CrossC2 gibi açık kaynaklı post-sömürü çerçevelerini çeşitli genel istismarlarla birleştirir.
Bu durum, hedef kitlenin ulusal hükümetler, dini kurumlar ve hükümetler arası kuruluşları içeren profillerinde açıkça görülmektedir.
Grubun C2 iletişimi için CloudFlare CDN’yi ve hizmetlerini yönetmek için ExpressVPN’i kullanmasının yanı sıra, kendinden imzalı TLS sertifikalarını kullandığı da görüldü.
Hedeflerden bazılarının daha önce Çin tarafından desteklenen operasyonlarla örtüşme eğilimi göstermesine rağmen, TAG-100, hazır araçlar ve benzersiz operasyon yöntemleri kullanılarak bunların belirlenmesini zorlaştırıyor.
En azından Kasım 2023’ten bu yana gözlemlenen bu grubun saldırılarıyla bağlantılı faaliyetler, temel operasyonel güvenlik stratejilerinin kolay erişilebilir araçlarla birleştiği değişen siber tehdit ortamının göstergesidir.
Azaltma önlemleri
Aşağıda tüm hafifletme önlemlerinden bahsettik:
- IDS/IPS’yi bilinen kötü amaçlı IP adreslerine ve etki alanlarına yönelik bağlantıları uyaracak ve potansiyel olarak engelleyecek şekilde yapılandırın.
- Dışarıya dönük hizmetler ve cihazlar için sağlam izleme uygulayın.
- Web kabukları, arka kapılar veya yatay hareketler gibi istismar sonrası faaliyetlere karşı dikkatli olun.
- Özellikle dışarıya bakan cihazlardaki RCE gibi yüksek riskli güvenlik açıklarını yamalamaya öncelik verin.
- Hassas bilgiler için ağ segmentasyonunu ve çok faktörlü kimlik doğrulamayı uygulayın.
- Kötü amaçlı altyapıyı gerçek zamanlı olarak tespit etmek ve engellemek için tehdit istihbaratını kullanın.
- Olası saldırı faaliyetlerine karşı üçüncü taraf satıcıları ve ortakları izleyin.
- Bilinen C2 sunucularıyla olan iletişimleri proaktif bir şekilde izlemek için Kötü Amaçlı Trafik Analizini kullanın.
IoC’ler
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.