Kaspersky, Evasive Panda isimli tehdit aktörü tarafından yürütülen sofistike bir siber casusluk kampanyasına ilişkin yeni bulgularını paylaştı. Saldırganlar, ziyanlı yazılımları legal sistem süreçlerine enjekte ederek çalıştırdı ve ele geçirilen sistemlerde uzun müddet fark edilmeden kalmayı başardığı tespit edildi. Kasım 2022 ile Kasım 2024 ortasında faal olan operasyon kapsamında Türkiye, Çin ve Hindistan’daki sistemler maksat alındı; kimi enfeksiyonların bir yılı aşkın mühlet boyunca devam ettiği tespit edildi. Bu durum, kümenin daima gelişen taktiklerini ve maksat ağlara uzun vadeli sızma konusundaki kararlılığını gözler önüne seriyor.
Saldırılarda, SohuVA, iQIYI Görüntü, IObit Smart Defrag ve Tencent QQ üzere tanınan Windows uygulamalarına ilişkin yazılım güncellemeleri üzere görünen aldatıcı tuzaklar kullanıldı. Uydurma güncelleyiciler, muteber yazılımlarla uyumlu görünecek formda tasarlanarak saldırganların makûs emelli faaliyetleri birinci etapta fark edilmeden başlatmasına imkan tanıdı. Ayrıyeten saldırganlar, DNS zehirleme tekniği kullanarak bir ziyanlı yazılım bileşenini kendi sunucularından dağıttı ve bu bileşenin tanınan ve legal bir internet sitesinde barındırılıyormuş izlenimi vermesini sağladı.
Saldırının merkezinde, Evasive Panda tarafından en az 2012’den bu yana siber casusluk maksadıyla kullanılan, on yılı aşkın geçmişe sahip modüler bir ziyanlı yazılım çerçevesi olan MgBot yer alıyor. Tuş kaydı alma, evrak hırsızlığı ve komut çalıştırma üzere fonksiyonlar için eklentiler içeren MgBot, 2022–2024 devrindeki akınlar kapsamında yeni yapılandırmalarla güncellendi. Bu güncellemeler ortasında, akınların kesintisiz devam etmesini ve uzun müddetli erişimi garanti altına almak hedefiyle birden fazla komuta-kontrol (C2) sunucusunun devreye alınması da bulunuyor.
Kaspersky güvenlik uzmanı Fatih Sensoy, mevzuya ait şu değerlendirmede bulundu:“Bu kampanya, saldırganların savunma sistemlerinden kaçınma konusundaki eforlarını ve MgBot üzere kendini kanıtlamış araçları yine kullanma stratejilerini açıkça ortaya koyuyor. İki yıl süren bu operasyon, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı yansıtıyor. Bilhassa dikkat çeken nokta, implantların sunucu tarafında işletim sistemi ortamına özel olarak uyarlanması; bu da son derece amaçlı bir casusluk faaliyetine imkan tanıyor. Kurumların bu cins uzun soluklu kampanyalara karşı, tehdit istihbaratına dayalı proaktif güvenlik tedbirleri alması büyük ehemmiyet taşıyor.”
Kaspersky, kurumları ve ferdî kullanıcıları bu ve gibisi tehditlere karşı dikkatli olmaya çağırıyor. Yürütülen araştırma doğrultusunda Kaspersky’nin teklifleri şöyle sıralanıyor:
- Yazılım güncellemeleri sürecinde çok faktörlü kimlik doğrulamanın uygulanması ve güncelleme paketlerinin; beklenmeyen evrak konumlandırmaları yahut bilinen ziyanlı şablonlarla kod benzerlikleri üzere anomalilere karşı uç nokta algılama ve cevap (EDR) tahlilleriyle ayrıntılı biçimde incelenmesi öneriliyor.
- Ortadaki Adam (Adversary-in-the-Middle – AitM) akınlarına yönelik göstergelerin tespiti için ağ izleme yetkinliklerinin güçlendirilmesi; DNS cevapları ile ağ trafiğinin, zehirleme yahut müdahale belirtileri açısından nizamlı olarak denetlenmesi değer taşıyor.
- Kullanıcıların, emniyetli tedarikçilerden geliyormuş üzere görünen geçersiz güncelleme temalı oltalama (phishing) teşebbüslerini ayırt edebilmeleri için farkındalık ve eğitim çalışmalarının artırılması gerekiyor.
- Bireysel kullanıcıların ise emniyetli ve kendini kanıtlamış müdafaa tahlilleri kullanarak sistemlerinde proaktif ziyanlı yazılım taramaları gerçekleştirmesi tavsiye ediliyor.
Detaylı bilgilere link üzerinden ulaşılabilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı