Kaspersky Managed Detection and Response uzmanları, Güney Afrikalı bir kuruluşa yönelik bir siber casusluk saldırısını gözlemliyor ve bunu Çince konuşan APT41 kümesiyle ilişkilendiriyor. Tehdit aktörü Güney Afrika’da hudutlu faaliyet gösteriyor olsa da, bu olay saldırganların bölgedeki ülkelerden birindeki kamu BT hizmetlerini amaç aldığını ve kimlik bilgileri, dahili dokümanlar, kaynak kodu ile bağlantı dahil olmak üzere hassas kurumsal bilgileri çalmaya çalıştığını ortaya koyuyor.
APT (Gelişmiş Kalıcı Tehdit), birçok siber cürüm faaliyetini oluşturan olayların tersine, muhakkak kuruluşlara karşı özel tasarlanmış, zımnî ve devam eden akınlar gerçekleştirmesiyle bilinen bir tehdit kategorisi olarak isimlendiriliyor. Güney Afrika’daki hücum sırasında gözlemlenen atak teknikleri, Kaspersky’nin saldırıyı yüksek ihtimalle Çince konuşan APT41 kümesine atfetmesini sağlıyor. Taarruzun birincil gayesi, bu tehdit aktörü için alışıldık bir hedef olan siber casusluk. Saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas dataları toplamaya çalışıyor. APT41’in Güney Afrika bölgesinde hayli hudutlu faaliyet göstermesi dikkat cazibeli. APT41 siber casusluk konusunda uzmanlaşmış bir küme ve telekomünikasyon sağlayıcıları, eğitim ve sıhhat kurumları, BT, güç ve öbür kesimler de dahil olmak üzere çeşitli bölümlerdeki kuruluşları amaç alıyor. Kümenin en az 42 ülkede faaliyet gösterdiği biliniyor.
Kaspersky uzmanlarının tahliline nazaran, saldırganlar internete açık bir web sunucusu aracılığıyla kurumun ağına erişim sağlamış olabilirler. Saldırganlar, profesyonel tabirde kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama tekniği kullanarak biri tüm iş istasyonlarında lokal yönetici haklarına sahip, başkası tesir alanı yöneticisi ayrıcalıklarına sahip bir yedekleme tahliline ilişkin olmak üzere iki farklı kurumsal tesir alanı hesabını ele geçirdi. Bu hesaplar saldırganların kurum içindeki öbür sistemleri de ele geçirmesine imkan sağladı.
Veri toplamak için kullanılan hırsızlardan biri, dataları dışa aktarmak ve şifresini çözmek için değiştirilmiş bir Pillager yardımcı programıydı. Saldırganlar kodu çalıştırılabilir bir belgeden Dinamik Temas Kitaplığına (DLL) derlediler. Bununla tarayıcılardan, veritabanlarından ve idare araçlarından kaydedilmiş kimlik bilgilerinin yanı sıra proje kaynak kodu, ekran imgeleri, etkin sohbet oturumları ve bilgileri, e-posta yazışmaları, yüklü yazılım listeleri, işletim sistemi kimlik bilgileri, Wi-Fi kimlik bilgileri ve öbür bilgileri toplamayı amaçladılar.
Saldırı sırasında kullanılan ikinci hırsızlık aracı Checkout oldu. Bu araç kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen belgeler ve tarayıcıda depolanan kredi kartı dataları hakkında da bilgi toplayabiliyordu. Saldırganlar ayrıyeten RawCopy yardımcı programını ve Mimikatz’ın Dinamik İrtibat Kitaplığı (DLL) olarak derlenmiş bir sürümünü kayıt belgelerini ve kimlik bilgilerini dökmek, ayrıyeten ele geçirilen ana bilgisayarlarda Komuta ve Denetim (C2) bağlantısı için Cobalt Strike’ı kullandılar.
Kaspersky Managed Detection and Response Önder SOC Analisti Denis Kulik, şunları söyledi: “İlginç bir halde, saldırganlar Cobalt Strike’ın yanı sıra C2 irtibat kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiler. Bu sunucuyla bir web kabuğuna bağlı özel C2 aracıları kullanarak bağlantı kurdular. SharePoint’i altyapıda esasen mevcut olan ve kuşku uyandırması mümkün olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıyeten bu durum, muhtemelen legal bir bağlantı kanalı aracılığıyla data sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları denetim etmek için en uygun yolu sundu. Genel olarak kapsamlı uzmanlık ve tüm altyapının daima izlenmesi olmadan bu tıp sofistike taarruzlara karşı savunma yapmak mümkün değildir. Makûs niyetli faaliyetleri erken bir etapta otomatik olarak engelleyebilen tahlillerle tüm sistemlerde tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına çok ayrıcalıklar vermekten kaçınmak çok değerlidir,”
Benzer akınları azaltmak yahut önlemek için Kaspersky kuruluşların aşağıdaki en güzel uygulamaları takip etmeleri tavsiye ediyor:
- Olayların vaktinde tespit edilmesini sağlamak ve muhtemel hasarı en aza indirmek için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında konuşlandırıldığından emin olun.
- Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve denetim edin. Bilhassa altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için çok hak atamalarından kaçının.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve daldaki kuruluşlar için gerçek vakitli muhafaza, tehdit görünürlüğü, araştırma ve EDR ve XDR’nin karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın. Mevcut gereksinimlerinize ve kaynaklarınıza bağlı olarak, en uygun eser katmanını seçebilir ve siber güvenlik ihtiyaçlarınız değişirse basitçe diğer bir esere geçebilirsiniz.
- Tehdit tanımlamadan daima muhafaza ve düzeltmeye kadar tüm olay idaresi döngüsünü kapsayan, Kaspersky’nin Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin. Bunlar siber hücumlara karşı korunmaya, olayları araştırmaya ve şirkette siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar.
- InfoSec profesyonellerinize kurumunuzu gaye alan siber tehditler hakkında derinlemesine bir görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, tüm olay idaresi döngüsü boyunca güçlü ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.
Olayın detaylı analizini Securelist’te bulabilirsiniz.
Kaspersky Managed Detection and Response hizmeti, kuşkulu aktiflikleri izler ve kurumların hücumun tesirini en aza indirmek için süratli bir halde karşılık vermesine yardımcı olur. Bu hizmet, Fortune Küresel 500 kuruluşları için olay müdahalesi, yönetilen tespit, SOC danışmanlığı, kırmızı grup, sızma testi, uygulama güvenliği ve dijital risklerin korunması üzere her yıl yüzlerce bilgi güvenliği projesi sunan bir takım olan Kaspersky Security Services‘in bir parçasıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı