Basın Bülteni- Kaspersky, APT41 casusluk saldırısında Güney Afrika'daki bir kuruluşun hedef alındığını bildirdi

Kaspersky Managed Detection and Response uzmanları, Güney Afrikalı bir kuruluşa
yönelik bir siber casusluk saldırısını gözlemliyor ve bunu Çince konuşan APT41
grubuyla ilişkilendiriyor. Tehdit aktörü Güney Afrika'da sınırlı faaliyet gösteriyor
olsa da, bu olay saldırganların bölgedeki ülkelerden birindeki kamu BT hizmetlerini
hedef aldığını ve kimlik bilgileri, dahili belgeler, kaynak kodu ile
iletişim dahil olmak üzere hassas kurumsal verileri çalmaya çalıştığını ortaya
koyuyor.

APT (Gelişmiş Kalıcı Tehdit), çoğu siber suç faaliyetini oluşturan olayların aksine,
belirli kuruluşlara karşı özel tasarlanmış, gizli ve devam eden saldırılar
gerçekleştirmesiyle bilinen bir tehdit kategorisi olarak adlandırılıyor. Güney
Afrika'daki saldırı sırasında gözlemlenen saldırı teknikleri, Kaspersky'nin saldırıyı
yüksek ihtimalle Çince konuşan APT41 grubuna atfetmesini sağlıyor. Saldırının
birincil hedefi, bu tehdit aktörü için alışıldık bir amaç olan siber casusluk.
Saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas verileri
toplamaya çalışıyor. APT41'in Güney Afrika bölgesinde oldukça sınırlı faaliyet
göstermesi dikkat çekici. APT41 siber casusluk konusunda uzmanlaşmış bir grup
ve telekomünikasyon sağlayıcıları, eğitim ve sağlık kurumları, BT, enerji ve
diğer sektörler de dahil olmak üzere çeşitli sektörlerdeki kuruluşları hedef
alıyor. Grubun en az 42 ülkede faaliyet gösterdiği biliniyor.

Kaspersky uzmanlarının analizine göre, saldırganlar internete açık bir web sunucusu
aracılığıyla kurumun ağına erişim sağlamış olabilirler. Saldırganlar, profesyonel
terimde kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama
tekniği kullanarak biri tüm iş istasyonlarında yerel yönetici haklarına sahip,
diğeri etki alanı yöneticisi ayrıcalıklarına sahip bir yedekleme çözümüne ait
olmak üzere iki ayrı kurumsal etki alanı hesabını ele geçirdi. Bu hesaplar saldırganların
kurum içindeki diğer sistemleri de ele geçirmesine olanak sağladı.

Veri toplamak için kullanılan hırsızlardan biri, verileri dışa aktarmak ve şifresini
çözmek için değiştirilmiş bir Pillager yardımcı programıydı. Saldırganlar
kodu çalıştırılabilir bir dosyadan Dinamik Bağlantı Kitaplığına (DLL) derlediler.
Bununla tarayıcılardan, veritabanlarından ve yönetim araçlarından kaydedilmiş
kimlik bilgilerinin yanı sıra proje kaynak kodu, ekran görüntüleri, aktif sohbet
oturumları ve verileri, e-posta yazışmaları, yüklü yazılım listeleri, işletim
sistemi kimlik bilgileri, Wi-Fi kimlik bilgileri ve diğer bilgileri toplamayı
amaçladılar.

Saldırı sırasında kullanılan ikinci hırsızlık aracı Checkout oldu. Bu araç kayıtlı
kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen dosyalar ve tarayıcıda
depolanan kredi kartı verileri hakkında da bilgi toplayabiliyordu. Saldırganlar
ayrıca RawCopy yardımcı programını ve Mimikatz'ın Dinamik Bağlantı Kitaplığı
(DLL) olarak derlenmiş bir sürümünü kayıt dosyalarını ve kimlik bilgilerini
dökmek, ayrıca ele geçirilen ana bilgisayarlarda Komuta ve Kontrol (C2) iletişimi
için Cobalt Strike'ı kullandılar.

Kaspersky Managed Detection and Response Lider SOC Analisti Denis Kulik, şunları
söyledi: İlginç bir şekilde, saldırganlar Cobalt Strike'ın yanı sıra C2 iletişim
kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiler.
Bu sunucuyla bir web kabuğuna bağlı özel C2 aracıları kullanarak iletişim
kurdular. SharePoint'i altyapıda zaten mevcut olan ve şüphe uyandırması muhtemel
olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıca bu durum,
muhtemelen meşru bir iletişim kanalı aracılığıyla veri sızdırmak ve güvenliği ihlal
edilmiş ana bilgisayarları kontrol etmek için en uygun yolu sundu. Genel olarak
kapsamlı uzmanlık ve tüm altyapının sürekli izlenmesi olmadan bu tür sofistike
saldırılara karşı savunma yapmak mümkün değildir. Kötü niyetli faaliyetleri
erken bir aşamada otomatik olarak engelleyebilen çözümlerle tüm sistemlerde
tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına aşırı ayrıcalıklar vermekten
kaçınmak çok önemlidir,

Benzer saldırıları azaltmak veya önlemek için Kaspersky kuruluşların aşağıdaki en
iyi uygulamaları takip etmeleri tavsiye ediyor:

- Olayların zamanında tespit edilmesini sağlamak ve olası hasarı en aza indirmek
için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında
konuşlandırıldığından emin olun.
- Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve kontrol edin. Özellikle
altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için aşırı
hak atamalarından kaçının.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki
kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve EDR
ve XDR'nin yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri
kullanın. Mevcut ihtiyaçlarınıza ve kaynaklarınıza bağlı olarak, en uygun ürün
katmanını seçebilir ve siber güvenlik gereksinimleriniz değişirse kolayca başka
bir ürüne geçebilirsiniz.
- Tehdit tanımlamadan sürekli koruma ve düzeltmeye kadar tüm olay yönetimi döngüsünü
kapsayan, Kaspersky'nin Compromise Assessment, Managed Detection and Response
(MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin.
Bunlar siber saldırılara karşı korunmaya, olayları araştırmaya ve şirkette
siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar.
- InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine
bir görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, tüm olay
yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sağlar ve siber riskleri
zamanında tespit etmelerine yardımcı olur.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -