Kaspersky Managed Detection and Response uzmanları, Güney Afrikalı bir kuruluşa yönelik bir siber casusluk saldırısını gözlemliyor ve bunu Çince konuşan APT41 kümesiyle ilişkilendiriyor. Tehdit aktörü Güney Afrika’da sonlu faaliyet gösteriyor olsa da, bu olay saldırganların bölgedeki ülkelerden birindeki kamu BT hizmetlerini maksat aldığını ve kimlik bilgileri, dahili dokümanlar, kaynak kodu ile irtibat dahil olmak üzere hassas kurumsal bilgileri çalmaya çalıştığını ortaya koyuyor.
APT (Gelişmiş Kalıcı Tehdit), birden fazla siber cürüm faaliyetini oluşturan olayların bilakis, makul kuruluşlara karşı özel tasarlanmış, zımnî ve devam eden ataklar gerçekleştirmesiyle bilinen bir tehdit kategorisi olarak isimlendiriliyor. Güney Afrika’daki hücum sırasında gözlemlenen taarruz teknikleri, Kaspersky’nin saldırıyı yüksek ihtimalle Çince konuşan APT41 kümesine atfetmesini sağlıyor. Atağın birincil gayesi, bu tehdit aktörü için alışıldık bir emel olan siber casusluk. Saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas bilgileri toplamaya çalışıyor. APT41’in Güney Afrika bölgesinde hayli sonlu faaliyet göstermesi dikkat cazibeli. APT41 siber casusluk konusunda uzmanlaşmış bir küme ve telekomünikasyon sağlayıcıları, eğitim ve sıhhat kurumları, BT, güç ve öbür bölümler de dahil olmak üzere çeşitli dallardaki kuruluşları maksat alıyor. Kümenin en az 42 ülkede faaliyet gösterdiği biliniyor.
Kaspersky uzmanlarının tahliline nazaran, saldırganlar internete açık bir web sunucusu aracılığıyla kurumun ağına erişim sağlamış olabilirler. Saldırganlar, profesyonel tabirde kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama tekniği kullanarak biri tüm iş istasyonlarında lokal yönetici haklarına sahip, oburu tesir alanı yöneticisi ayrıcalıklarına sahip bir yedekleme tahliline ilişkin olmak üzere iki farklı kurumsal tesir alanı hesabını ele geçirdi. Bu hesaplar saldırganların kurum içindeki başka sistemleri de ele geçirmesine imkan sağladı.
Veri toplamak için kullanılan hırsızlardan biri, dataları dışa aktarmak ve şifresini çözmek için değiştirilmiş bir Pillager yardımcı programıydı. Saldırganlar kodu çalıştırılabilir bir belgeden Dinamik İlişki Kitaplığına (DLL) derlediler. Bununla tarayıcılardan, veritabanlarından ve idare araçlarından kaydedilmiş kimlik bilgilerinin yanı sıra proje kaynak kodu, ekran imajları, faal sohbet oturumları ve dataları, e-posta yazışmaları, yüklü yazılım listeleri, işletim sistemi kimlik bilgileri, Wi-Fi kimlik bilgileri ve başka bilgileri toplamayı amaçladılar.
Saldırı sırasında kullanılan ikinci hırsızlık aracı Checkout oldu. Bu araç kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen evraklar ve tarayıcıda depolanan kredi kartı bilgileri hakkında da bilgi toplayabiliyordu. Saldırganlar ayrıyeten RawCopy yardımcı programını ve Mimikatz’ın Dinamik Temas Kitaplığı (DLL) olarak derlenmiş bir sürümünü kayıt belgelerini ve kimlik bilgilerini dökmek, ayrıyeten ele geçirilen ana bilgisayarlarda Komuta ve Denetim (C2) irtibatı için Cobalt Strike’ı kullandılar.
Kaspersky Managed Detection and Response Başkan SOC Analisti Denis Kulik, şunları söyledi: “İlginç bir formda, saldırganlar Cobalt Strike’ın yanı sıra C2 bağlantı kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiler. Bu sunucuyla bir web kabuğuna bağlı özel C2 aracıları kullanarak bağlantı kurdular. SharePoint’i altyapıda esasen mevcut olan ve kuşku uyandırması olası olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıyeten bu durum, muhtemelen yasal bir irtibat kanalı aracılığıyla data sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları denetim etmek için en uygun yolu sundu. Genel olarak kapsamlı uzmanlık ve tüm altyapının daima izlenmesi olmadan bu tıp sofistike akınlara karşı savunma yapmak mümkün değildir. Berbat niyetli faaliyetleri erken bir evrede otomatik olarak engelleyebilen tahlillerle tüm sistemlerde tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına çok ayrıcalıklar vermekten kaçınmak çok kıymetlidir,”
Benzer akınları azaltmak yahut önlemek için Kaspersky kuruluşların aşağıdaki en uygun uygulamaları takip etmeleri tavsiye ediyor:
- Olayların vaktinde tespit edilmesini sağlamak ve muhtemel hasarı en aza indirmek için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında konuşlandırıldığından emin olun.
- Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve denetim edin. Bilhassa altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için çok hak atamalarından kaçının.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve daldaki kuruluşlar için gerçek vakitli müdafaa, tehdit görünürlüğü, araştırma ve EDR ve XDR’nin cevap yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın. Mevcut gereksinimlerinize ve kaynaklarınıza bağlı olarak, en uygun eser katmanını seçebilir ve siber güvenlik ihtiyaçlarınız değişirse kolay kolay öteki bir esere geçebilirsiniz.
- Tehdit tanımlamadan daima muhafaza ve düzeltmeye kadar tüm olay idaresi döngüsünü kapsayan, Kaspersky’nin Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin. Bunlar siber hücumlara karşı korunmaya, olayları araştırmaya ve şirkette siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar.
- InfoSec profesyonellerinize kurumunuzu amaç alan siber tehditler hakkında derinlemesine bir görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, tüm olay idaresi döngüsü boyunca varlıklı ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.
Olayın detaylı analizini Securelist’te bulabilirsiniz.
Kaspersky Managed Detection and Response hizmeti, kuşkulu aktiflikleri izler ve kurumların atağın tesirini en aza indirmek için süratli bir biçimde cevap vermesine yardımcı olur. Bu hizmet, Fortune Küresel 500 kuruluşları için olay müdahalesi, yönetilen tespit, SOC danışmanlığı, kırmızı takım, sızma testi, uygulama güvenliği ve dijital risklerin korunması üzere her yıl yüzlerce bilgi güvenliği projesi sunan bir takım olan Kaspersky Security Services‘in bir parçasıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
