Siber güvenlik şirketi ESET, Nisan 2024’ten Eylül 2024 sonuna kadar ESET araştırmacıları tarafından belgelenen belli gelişmiş kalıcı tehdit (APT) kümelerinin faaliyetlerini vurgulayan en son APT Faaliyet Raporu’nu yayımladı.
Araştırmacılar İran’a bağlı kümelerin siber yeteneklerini diplomatik casusluk uğraşlarını ilerletmek için kullandıklarına dair işaretler gözlemlerken Çin’e yakın MirrorFace birinci sefer AB içindeki bir diplomatik kuruluşu maksat aldığını da raporladılar. ESET’in yayımladığı raporda Asya’da öncelikle devlet kurumlarına odaklanan kampanyaların devam ettiğini, eğitim kesimine, bilhassa de araştırmacılar ve akademisyenlere yönelik hedeflemelerin arttığını gözlemledi.
ESET APT Faaliyet Raporu’na nazaran Çin irtibatlı MirrorFace’in hedeflemelerinde kayda kıymet bir artış gözlemlendi. Ekseriyetle Japon kuruluşlarına odaklanan bu küme, Japon gayelerine öncelik vermeye devam ederken operasyonlarını birinci defa Avrupa Birliği’ndeki diplomatik bir kuruluşu da kapsayacak formda genişletti. Buna ek olarak, Çin’e bağlı APT kümeleri kurbanların ağlarına erişim sağlamak için açık kaynaklı ve çok platformlu SoftEther VPN’e giderek daha fazla güveniyor. Araştırmacılar ayrıyeten İran’a bağlı kümelerin diplomatik casusluğu ve potansiyel olarak kinetik operasyonları desteklemek için siber yeteneklerini kullanabileceklerine dair işaretler gözlemledi.
ESET Tehdit Araştırmaları Yöneticisi Jean-Ian Boutin yaptığı açıklamada: “Çin’e bağlı tehdit kümeleriyle ilgili olarak, Flax Typhoon tarafından SoftEther VPN’in kapsamlı kullanımını tespit ettik, Webworm’un tam özellikli art kapısından AB’deki devlet kurumlarına ilişkin makinelerde SoftEther VPN Köprüsü’nü kullanmaya geçtiğini gözlemledik ve GALLIUM’un Afrika’daki telekomünikasyon operatörlerine SoftEther VPN sunucuları yerleştirdiğini fark ettik” dedi. “MirrorFace’in birinci defa, Çin, Kuzey Kore ve Rusya’ya bağlı birçok tehdit aktörünün odak noktası olmaya devam eden bir bölge olan AB’deki diplomatik bir kuruluşu maksat aldığını gözlemledik. Bu kümelerin birçok bilhassa devlet kurumlarına ve savunma kesimine odaklanmış durumda” diye ekledi.
İran’a bağlı kümeler odaklandıkları alanları genişletiyor
Öte yandan İran’a bağlı kümeler, İran için jeopolitik açıdan değerli bir kıta olan Afrika’da birçok finansal hizmet şirketini tehlikeye atmış, İran’ın karmaşık ilgilere sahip olduğu komşu ülkeler olan Irak ve Azerbaycan’a yönelik siber casusluk faaliyetlerinde bulunmuş ve İsrail’de nakliyat dalındaki hisselerini artırmışlardır. Görünürdeki bu dar coğrafik hedeflemeye karşın İran’a bağlı kümeler global bir odaklanmayı sürdürerek Fransa’daki diplomatik elçileri ve Amerika Birleşik Devletleri’ndeki eğitim kurumlarını takip etmeye devam ettiler.
Kuzey Kore’ye bağlı kümeler kripto para peşinde
Kuzey Kore’ye bağlı tehdit aktörleri hem klasik para üniteleri hem de kripto para üniteleri olmak üzere çalıntı fon arayışlarını sürdürdü. Bu kümelerin Avrupa ve ABD’deki savunma ve havacılık şirketlerine yönelik taarruzlarını sürdürdüklerini ve kripto para geliştiricilerini, fikir kuruluşlarını ve STK’ları maksat aldıkları gözlemlendi. Bu kümelerden biri olan Kimsuky, çoklukla sistem yöneticileri tarafından kullanılan lakin rastgele bir Windows komutunu çalıştırabilen Microsoft Management Console evraklarını berbata kullanmaya başladı. Buna ek olarak, Kuzey Kore’ye bağlı birkaç küme tanınan bulut tabanlı hizmetleri sıklıkla berbata kullandı.
Rusya’ya bağlı kümeler Ukrayna’ya odaklanmaya devam ediyor
Son olarak ESET Research, Roundcube ve Zimbra üzere web posta sunucularını sık sık gaye alan Rusya ilişkili siber casusluk kümelerini, çoklukla bilinen XSS açıklarını tetikleyen spearphishing e-postalarıyla tespit etti. Dünya çapında hükümet, akademik ve savunma ile ilgili kuruluşları amaç alan Sednit’in yanı sıra ESET, Roundcube’deki XSS açıkları aracılığıyla e-posta bildirilerini çalan GreenCube isimli Rusya’ya bağlı bir diğer küme daha tespit etti. Rusya’ya bağlı öteki kümeler Ukrayna’ya odaklanmaya devam etti ve Gamaredon, hem Telegram hem de Signal iletileşme uygulamalarını berbata kullanarak araçlarını yine işlerken büyük spearphishing kampanyaları başlattı. Ayrıyeten Sandworm, WrongSens isimli yeni Windows art kapısını kullandı. ESET ayrıyeten Polonya Anti-Doping Ajansı’nın bilgilerinin halka açık bir formda hacklenip sızdırılmasını da tahlil etti; bu datalar muhtemelen birinci erişim ortacısı tarafından ele geçirilmiş ve daha sonra NATO’yu eleştiren siber faal dezenformasyon kampanyalarının ardındaki bir varlık olan Belarus’a bağlı FrostyNeighbor APT kümesi ile paylaşılmıştı.
ESET, Asya’da kampanyaların öncelikle devlet kurumlarına odaklanmaya devam ettiğini gözlemledi. Lakin yapılan araştırmalarda, bilhassa Kore yarımadası ve Güneydoğu Asya’ya odaklanan araştırmacı ve akademisyenleri amaç alan eğitim bölümüne yapılan vurgunun arttığı da görüldü. Bu değişim, Çin ve Kuzey Kore’nin çıkarlarıyla uyumlu tehdit aktörleri tarafından yönlendirildi. Kuzey Kore’ye bağlı kümelerden biri olan Lazarus, finans ve teknoloji bölümlerinde dünyanın dört bir yanındaki kuruluşlara saldırmaya devam etti. Orta Doğu’da, İran’a bağlı birkaç APT kümesi, en çok etkilenen ülke İsrail olmak üzere, devlet kurumlarına saldırmaya devam etti. Son yirmi yılda Afrika, Çin için değerli bir jeopolitik ortak haline geldi ve Çin’e bağlı kümelerin bu kıtadaki faaliyetlerini genişlettiği görüldü. Ukrayna’da Rusya’ya bağlı kümeler en faal kümeler olmaya devam etti ve devlet kurumlarını, savunma dalını ve güç, su ve ısı temini üzere temel hizmetleri büyük ölçüde etkiledi.
Vurgulanan operasyonlar, ESET’in bu periyotta araştırdığı daha geniş tehdit ortamını temsil etmektedir. ESET eserleri, müşterilerinin sistemlerini bu raporda açıklanan makus gayeli faaliyetlerden korur. Burada paylaşılan istihbarat, çoğunlukla özel ESET telemetri datalarına dayanmaktadır. ESET APT Reports PREMIUM olarak bilinen bu tehdit istihbaratı tahlilleri, vatandaşları, kritik ulusal altyapıyı ve yüksek kıymetli varlıkları kabahat ve ulus-devlet kaynaklı siber taarruzlardan korumakla vazifeli kuruluşlara yardımcı olur. ESET APT Reports PREMIUM ve yüksek kaliteli, stratejik, harekete geçirilebilir ve taktiksel siber güvenlik tehdit istihbaratı sunumu hakkında daha fazla bilgiye ESET Tehdit İstihbaratı sayfasından ulaşabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
