Kaspersky, Evasive Panda isimli tehdit aktörü tarafından yürütülen sofistike bir siber casusluk kampanyasına ilişkin yeni bulgularını paylaştı. Saldırganlar, ziyanlı yazılımları yasal sistem süreçlerine enjekte ederek çalıştırdı ve ele geçirilen sistemlerde uzun mühlet fark edilmeden kalmayı başardığı tespit edildi. Kasım 2022 ile Kasım 2024 ortasında etkin olan operasyon kapsamında Türkiye, Çin ve Hindistan’daki sistemler maksat alındı; birtakım enfeksiyonların bir yılı aşkın müddet boyunca devam ettiği tespit edildi. Bu durum, kümenin daima gelişen taktiklerini ve maksat ağlara uzun vadeli sızma konusundaki kararlılığını gözler önüne seriyor.
Saldırılarda, SohuVA, iQIYI Görüntü, IObit Smart Defrag ve Tencent QQ üzere tanınan Windows uygulamalarına ilişkin yazılım güncellemeleri üzere görünen aldatıcı tuzaklar kullanıldı. Geçersiz güncelleyiciler, muteber yazılımlarla uyumlu görünecek biçimde tasarlanarak saldırganların makus maksatlı faaliyetleri birinci basamakta fark edilmeden başlatmasına imkan tanıdı. Ayrıyeten saldırganlar, DNS zehirleme tekniği kullanarak bir ziyanlı yazılım bileşenini kendi sunucularından dağıttı ve bu bileşenin tanınan ve legal bir internet sitesinde barındırılıyormuş izlenimi vermesini sağladı.
Saldırının merkezinde, Evasive Panda tarafından en az 2012’den bu yana siber casusluk maksadıyla kullanılan, on yılı aşkın geçmişe sahip modüler bir ziyanlı yazılım çerçevesi olan MgBot yer alıyor. Tuş kaydı alma, evrak hırsızlığı ve komut çalıştırma üzere fonksiyonlar için eklentiler içeren MgBot, 2022–2024 periyodundaki ataklar kapsamında yeni yapılandırmalarla güncellendi. Bu güncellemeler ortasında, atakların kesintisiz devam etmesini ve uzun müddetli erişimi garanti altına almak hedefiyle birden fazla komuta-kontrol (C2) sunucusunun devreye alınması da bulunuyor.
Kaspersky güvenlik uzmanı Fatih Sensoy, mevzuya ait şu değerlendirmede bulundu:“Bu kampanya, saldırganların savunma düzeneklerinden kaçınma konusundaki uğraşlarını ve MgBot üzere kendini kanıtlamış araçları yine kullanma stratejilerini açıkça ortaya koyuyor. İki yıl süren bu operasyon, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı yansıtıyor. Bilhassa dikkat çeken nokta, implantların sunucu tarafında işletim sistemi ortamına özel olarak uyarlanması; bu da son derece gayeli bir casusluk faaliyetine imkan tanıyor. Kurumların bu çeşit uzun soluklu kampanyalara karşı, tehdit istihbaratına dayalı proaktif güvenlik tedbirleri alması büyük ehemmiyet taşıyor.”
Kaspersky, kurumları ve kişisel kullanıcıları bu ve gibisi tehditlere karşı dikkatli olmaya çağırıyor. Yürütülen araştırma doğrultusunda Kaspersky’nin teklifleri şöyle sıralanıyor:
- Yazılım güncellemeleri sürecinde çok faktörlü kimlik doğrulamanın uygulanması ve güncelleme paketlerinin; beklenmeyen evrak konumlandırmaları yahut bilinen ziyanlı şablonlarla kod benzerlikleri üzere anomalilere karşı uç nokta algılama ve karşılık (EDR) tahlilleriyle ayrıntılı biçimde incelenmesi öneriliyor.
- Ortadaki Adam (Adversary-in-the-Middle – AitM) ataklarına yönelik göstergelerin tespiti için ağ izleme yetkinliklerinin güçlendirilmesi; DNS cevapları ile ağ trafiğinin, zehirleme yahut müdahale belirtileri açısından tertipli olarak denetlenmesi ehemmiyet taşıyor.
- Kullanıcıların, emniyetli tedarikçilerden geliyormuş üzere görünen düzmece güncelleme temalı oltalama (phishing) teşebbüslerini ayırt edebilmeleri için farkındalık ve eğitim çalışmalarının artırılması gerekiyor.
- Bireysel kullanıcıların ise sağlam ve kendini kanıtlamış müdafaa tahlilleri kullanarak sistemlerinde proaktif ziyanlı yazılım taramaları gerçekleştirmesi tavsiye ediliyor.
Detaylı bilgilere link üzerinden ulaşılabilir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
