Basın Bülteni- Kaspersky, Windows Server’ları hedef alan PassiveNeuron casusluk operasyonunu ortaya çıkardı

Kaspersky'nin Küresel Araştırma ve Analiz Ekibi (GReAT), Asya, Afrika ve Latin Amerika'daki
kamu kurumlarını, finansal kuruluşları ve endüstriyel organizasyonları
hedef alan aktif bir siber casusluk operasyonunu ortaya çıkardı. PassiveNeuron
olarak adlandırılan bu kampanyanın Aralık 2024'ten itibaren sürdüğü ve Ağustos
2025'e kadar devam ettiği tespit edildi.

Yaklaşık altı aylık bir duraklamanın ardından yeniden faaliyet göstermeye başlayan
PassiveNeuron, hedef ağlara sızmak ve kalıcı erişim sağlamak için üç ana araç
kullanıyor. Bunlardan ikisi daha önce bilinmeyen yazılımlar. Kampanyada kullanılan
araçlar şunlar: modüler bir arka kapı yazılımı olan Neursite, .NET tabanlı
bir implant olan NeuralExecutor ve tehdit aktörleri tarafından sıkça istismar
edilen sızma testi aracı Cobalt Strike.

Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, konuyla ilgili olarak şunları
söyledi: PassiveNeuron, organizasyonların bilişim altyapısının bel kemiği
sayılan sunucuları hedef almasıyla öne çıkıyor. İnternete açık sunucular, gelişmiş
kalıcı tehdit (APT) grupları için son derece cazip hedeflerdir, çünkü tek
bir sistemin ele geçirilmesi bile kritik sistemlere erişim sağlayabilir. Bu nedenle,
bu tür sunucularla ilişkili saldırı yüzeyinin en aza indirilmesi ve olası
enfeksiyonların tespiti için sunucu uygulamalarının sürekli izlenmesi büyük önem taşır.

Neursite arka kapısı, sistem bilgilerini toplayabiliyor, çalışan süreçleri yönetebiliyor
ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ
içinde yatay hareket etmeye olanak tanıyor. Örneklerde, bu aracın hem dış komuta-kontrol
(C2) sunucularıyla hem de ele geçirilmiş dahili sistemlerle iletişim
kurduğu gözlemlendi.

NeuralExecutor ise ek zararlı yükler dağıtmak için tasarlanmış bir implant. Birden
fazla iletişim yöntemini destekleyen bu yazılım, komuta-kontrol sunucusundan
aldığı .NET bileşenlerini belleğe yükleyip çalıştırabiliyor.

GReAT tarafından analiz edilen örneklerde, işlev adlarının kasıtlı olarak Kiril
karakterleriyle değiştirilmiş olduğu görüldü. Araştırmacılar, bu tür kalıntıların
yanlış yönlendirme amacı taşıyan sahte bayrak unsurları olabileceğini değerlendiriyor.
Kaspersky, tespit edilen taktik, teknik ve prosedürlere (TTP) dayanarak,
kampanyanın Çince konuşan bir tehdit aktörüyle düşük güven düzeyinde ilişkili
olabileceğini belirtiyor. Kaspersky araştırmacıları, 2024'ün başlarında da
PassiveNeuron aktivitesine rastlamış ve bu kampanyayı yüksek düzeyde sofistikasyona
sahip olarak tanımlamıştı.

Kaspersky araştırmacıları, bilinen ya da bilinmeyen tehdit aktörlerinin hedefli
saldırılarından korunmak için şu önlemlerin uygulanmasını öneriyor:
- Güvenlik operasyon merkezi (SOC) ekibinizi en güncel tehdit istihbaratına erişimle
güçlendirin. Kaspersky Threat Intelligence Portal, şirketin 20 yılı aşkın
süredir topladığı siber saldırı verilerini ve içgörülerini tek noktadan sunar.
- Siber güvenlik ekibinizi hedefli saldırılarla mücadele edebilecek düzeyde geliştirin.
GReAT uzmanlarının hazırladığı Kaspersky online training, bu alandaki yetkinliği
artırmak için özel olarak tasarlanmıştır.
- Uç nokta düzeyinde tespit, inceleme ve olay müdahalesi için Kaspersky Endpoint
Detection and Response (EDR) çözümünü devreye alın.
- Temel uç nokta korumasının yanı sıra, ağ seviyesinde gelişmiş tehditleri erken
evrede tespit eden kurumsal güvenlik çözümlerine yatırım yapın, örneğin Kaspersky
Anti Targeted Attack Platform.
- Çoğu hedefli saldırı oltalama (phishing) veya sosyal mühendislik teknikleriyle
başladığından, çalışanlarınıza güvenlik farkındalığı eğitimi verin.Kaspersky Automated
Security Awareness Platform, bu becerilerin pratik şekilde kazandırılmasını
sağlar.



-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -