Kudelski Güvenlik Araştırması kısa süre önce, tehdit aktör altyapısını izlemek ve analiz etmek için gelişmiş yöntemleri detaylandıran ve siber saldırı modelleri ve ilişkilendirme teknikleri hakkında değerli bilgiler sağlayan bir makale yayınladı.
Tehdit aktör altyapısını kod çözme: bir vaka çalışması
Araştırma ekibi, İran Grubu Öncü Yavru Kedi’ye (UNC757) atfedilen ABD ve İsrail hükümet yetkililerini hedefleyen bir kimlik avı kampanyası kullanarak yaklaşımlarını gösterdi.
Araştırmacılar, saldırı ile ilişkili IP adreslerini haritalayarak ve zenginleştirerek, belirli bir barındırma sağlayıcısına bağlantılar belirlediler ve 2017’ye kadar uzanan kampanyalara bağlantılar kurdular.
Geçmiş DNS verilerini araştırırken önemli bir bulgu ortaya çıktı.
Hem Pioneer Kitten hem de Gamaredon aynı IP adresini kullandığı için ekip Gamaredon Grubu ile potansiyel bir örtüşme keşfetti (206.71.148[.]78) kendi saldırılarında farklı alanlar için.
Bu keşif, tehdit aktörleri arasındaki operasyonel bağlantıları tanımlamak için tarihsel verilerin izlenmesinin önemini vurgulamaktadır.
Gelişmiş Altyapı Analiz Teknikleri
Makale, kötü niyetli niyet hemen belirgin olmasa bile, titiz belgelerin ve altyapı verilerinin kümelenmesinin önemini vurgulamaktadır.
Tehdit aktörleri genellikle ağları, araçları ve operasyonel kalıpları yeniden kullanır, bu da tarihsel kayıtları gelişen taktikleri izlemek için paha biçilmez hale getirir.
Bu süreci göstermek için araştırmacılar, Kuzey Koreli BT işçileri ile ilgili bir sızıntıdan toplanan istihbaratı kullanarak farklı altyapıların kümelenmesine iki aşamalı bir yaklaşım sundular.
Ekip, bir macun yapılandırma dosyasından eksiksiz bir altyapıyı yeniden yapılandırarak, bilinmeyen altyapıların gelecekteki referans için nasıl etiketleneceğini ve kategorize edileceğini gösterdi.
Araştırmacılar, güvenli veri depolama ve kolay erişilebilirliğin önemini vurgulamaktadır, çünkü yeni bulgular daha önce tanımlanmış altyapı ile aylar hatta yıllar sonra örtüşmeyi ortaya çıkarabilir ve uzun vadeli tehdit analizi için önemli bağlam sağlar.
Makale, tehdit istihbaratındaki standart adlandırma sözleşmelerinin eksikliğini ele alarak, farklı istihbarat sağlayıcılarından benzersiz perspektifler, ittifaklar ve gelişen düşman davranışları gibi çeşitli faktörlere atfetiyor.
Bu tutarsızlık, farklı istihbarat ekiplerinin tehditleri nasıl sınıflandırdığı ve izlediğinde tutarsızlıklara yol açabilir.
Bu zorluklarda gezinmek için analistlerin, açık kaynaklı verilere dayalı altyapıyı analiz ederken birden fazla bakış açısını dikkate almaları tavsiye edilir.
Bu, atfedilen düşmanın jeopolitik bağlamının değerlendirilmesini, birden fazla istihbarat sağlayıcısından elde edilen verilerin karşılaştırılmasını ve ilişkilendirme iddialarının bağımsız olarak doğrulanmasını içerir.
Araştırma, Lazarus Grubu için bir etkinlik matrisi sunarak, yapılandırılmış yaklaşımların analistlerin saldırgan organizasyonlarını haritalamasına, operasyonel hiyerarşileri tanımlamalarına ve taktiklerindeki kalıpları tespit edebileceğini gösteren sonucuna varıyor.
Bu kapsamlı metodoloji, siber tehditlerin karmaşık ağının çözülmesinde ve genel siber güvenlik duruşunu artırmada kapsamlı altyapı analizinin gücünü sergilemektedir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free