ABONE OLİSTANBUL - Kaspersky araştırmacıları, bu yılın ilk 3 ayında dünyanın her yerinde görülen siber saldırılarda Gelişmiş Kalıcı Tehdit (APT) grupları tarafından başlatılan yeni araçları, teknikleri ve operasyonları keşfetmeye devam etti.
Şirketten yapılan açıklamaya göre, APT Eğilimleri Raporu, Kaspersky'nin özel tehdit istihbarat araştırmalarından, önemli gelişmelerden ve siber olaylardan derlendi.
Rapora göre, APT saldırganları yoğun bir dönem geçirdi. Yeni ve tanınmış operatörler tarafından yürütülen hem yakın zamanda ortaya çıkarılan hem devam eden operasyonlar, APT tehdit ortamında önemli değişiklikleri beraberinde getirdi. Çoğunlukla işletmeleri ve devlet kurumlarını hedef alan APT tehditleri, halihazırda mevcut olan kötü amaçlı araç setlerini güncelledi ve saldırılarını artırmak için tekniklerini çeşitlendirdi. Bu ve diğer eğilimler, Kaspersky'nin son 3 aylık tehdit istihbaratı özetinde ele alınıyor.
2022'nin ilk çeyreği boyunca devam eden APT faaliyetleri, yeni başlatılan operasyonlar ve hassas jeopolitik olaylara yönelik bir dizi saldırı tarafından yönlendirildi.
Rapordaki önemli bulgulara göre, geçen yıl Kaspersky araştırmacıları, 2022'de düşük seviyeli implantların daha da geliştirileceğini tahmin etmişti. Bu eğilimin bir örneği, sanal ortamda bilinen üçüncü bir bellenim ön yükleme seti vakası olan Kaspersky tarafından keşfedilen Moonbounce oldu. Bu kötü amaçlı implant, bilgisayarların önemli bir parçası olan Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) içinde gizlendi. İmplant, sabit sürücüden harici bir depolama bileşeni olan SPI flaş bellek bölgesinde bulundu. Operasyon, tanınmış APT grubu APT41'e atfedildi.
- APT grupları kripto paraların peşinde
Öte yandan, raporda kripto para saldırılarına ilişkin, "İlk çeyrekte Kaspersky, APT gruplarının kripto para avına devam ettiğini gözlemledi. Lazarus ve onunla bağlantılı diğer tehdit grupları, finansal kazancı birincil hedeflerinden biri haline getirdi. Bu tehdit odağı, karı artırmak için Truva atı yerleştirilmiş merkezi olmayan finans (DeFi) uygulamaları dağıttı. Lazarus, kurbanların sistemleri üzerinde kontrol sağlayan kötü amaçlı yazılımları dağıtarak kripto para cüzdanlarını yönetmek için kullanılan meşru uygulamaları kötüye kullanıyor." ifadeleri kullanıldı.
APT gruplarının, saldırılarının verimliliğini artırmak için sürekli yeni yollar aradığı vurgulanan açıklamada, şunlar kaydedildi:
"DeathStalker adlı siber paralı asker grubu, saldırıları daha verimli hale getirmek için karmaşık olmayan araçlarını güncellemeye devam ediyor. İlk olarak 2013'te piyasaya sürülen eski bir kötü amaçlı yazılım olan Janicab, bu eğilimin başlıca örneği. Genel olarak Janicab, muadili kötü amaçlı yazılım aileleriyle aynı işlevlere sahip. Ancak grubun EVILNUM ve Powersing izinsiz girişleriyle yaptığı gibi, izinsiz giriş yaşam döngüsünün ilerleyen bölümlerinde birkaç araç indirmek yerine, yeni örneklerin çoğu gömülü ve gizlenmiş araçlara sahip. Ek olarak, DeathStalker, etkili gizli komut ve kontrol yürütmek için ölü nokta çözümleyicileri (DDR'ler) olarak YouTube, Google ve WordPress gibi dünyanın en büyük çevrimiçi hizmetlerini kullanıyor."
Açıklamada değerlendirmelerine yer verilen Kaspersky GReAT Baş Güvenlik Araştırmacısı David Emm, jeopolitik koşulların her zaman APT saldırılarının ana itici gücü olduğunu belirterek, "Bu hiçbir zaman şimdi olduğu kadar belirgin ortaya çıkmamıştı. Çalkantılı bir zamanda yaşıyoruz ve bu siber güvenlik merceğinden bakınca da açıkça görülüyor. Aynı zamanda ilk çeyrekte birçok tehdit grubunun araçlarını sürekli güncellediğini ve yalnızca bilginin değil, paranın da peşinden koşan yeni operasyonları hayata geçirdiğini açıkça görebiliyoruz. Kuruluşların her zamanki gibi tetikte olmaları gerekiyor. Ayrıca, bu durum tehdit istihbaratı ve mevcut ve ortaya çıkan tehditlerden korunmak için doğru araçlarla donanmış olduklarından emin olmaları gerektiği anlamına geliyor." ifadelerini kullandı.
Bilinen veya bilinmeyen bir tehdit grubu tarafından hedeflenen bir saldırının kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları, şu önerilerde bulundu:
"Kaspersky Tehdit İstihbarat Portalı, şirketlerin Tehdit İstihbaratı için etkin bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve öngörülerini sağlar. İşletmelerin bu çalkantılı zamanlarda savunmalarını güçlendirmelerine yardımcı olmak için Kaspersky, devam eden siber saldırılar ve tehditler hakkında bağımsız, sürekli güncellenen ve küresel kaynaklı bu bilgilere ücretsiz olarak erişilebileceğini duyurdu. Kaynağa erişim için bu form doldurularak başvuru yapılabilir. GReAT uzmanları tarafından geliştirilen Kaspersky çevrim içi eğitimiyle siber güvenlik ekipleri en güncel tehditlerle başa çıkmak için geliştirilebilir. Uç nokta düzeyinde algılama, inceleme ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümleri kullanılabilir. Temel uç nokta korumasını benimsemenin yanı sıra Kaspersky Anti Targeted Attack Platform gibi ağ düzeyindeki gelişmiş tehditleri erken bir aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü uygulanmalıdır. Pek çok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından ekiplere güvenlik farkındalığı eğitimi sunulabilir ve pratik beceriler kazandırılabilir. Bu bilgiler Kaspersky Automated Security Awareness Platform sitesinden edinilebilir." Kaynak: AA
