Kaspersky Küresel Araştırma ve Tahlil Grubu (GReAT), GhostContainer olarak isimlendirilen açık kaynaklı araçlara dayalı yeni bir art kapı ortaya çıkardı. Daha evvel bilinmeyen ve son derece özelleştirilmiş bu makûs maksatlı yazılım, kamu ortamlarındaki Exchange altyapısını amaç alan bir olay müdahale (IR) hadisesi sırasında keşfedildi. Yazılımın, yüksek teknoloji şirketleri de dahil olmak üzere Asya’daki yüksek kıymetli kuruluşları maksat alan gelişmiş kalıcı tehdit (APT) kampanyasının bir kesimi olabileceği düşünülüyor.
Kaspersky tarafından App_Web_Container_1.dll olarak tespit edilen evrakın, çeşitli açık kaynak projelerinden yararlanan ve ek modül indirmeleri yoluyla rastgele işlevlerle dinamik olarak genişletilebilen karmaşık, çok fonksiyonlu bir art kapı olduğu ortaya çıktı.
Arka kapı, yüklendikten sonra saldırganlara Exchange sunucusu üzerinde tam denetim sağlayarak çok çeşitli makûs niyetli faaliyetlere imkan tanıyor. Güvenlik tahlillerinin tespitinden kaçınmak için çeşitli kaçırma teknikleri kullanıyor ve olağan süreçlere karışmak için kendisini legal bir sunucu bileşeni biçiminde gösteriyor. Buna ek olarak, bir proxy ya da tünel vazifesi görerek potansiyel olarak dahili ağı dış tehditlere maruz bırakabiliyor ya da hassas dataların iç sistemlerden dışarı sızmasını kolaylaştırabiliyor. Bu nedenle, kampanyanın maksadının siber casusluk olduğundan şüpheleniliyor.
GReAT APAC & META Başkanı Sergey Lozhkin, şunları söylüyor: “Derinlemesine tahlilimiz, saldırganların Exchange sistemlerini istismar etme ve IIS ve Exchange ortamlarına sızma ile ilgili çeşitli açık kaynaklı projelerden yararlanmanın yanı sıra halka açık koda dayalı sofistike casusluk araçları oluşturma ve geliştirme konusunda epeyce yetenekli olduklarını ortaya koydu. Tehdit ortamını daha yeterli anlamak için bu taarruzların kapsamı ve ölçeği ile birlikte faaliyetlerini izlemeye devam edeceğiz.”
Saldırganlar rastgele bir altyapıyı ifşa etmedikleri için şu anda GhostContainer’ı bilinen rastgele bir tehdit aktörü kümesiyle ilişkilendirmek mümkün değil. Berbat emelli yazılım, dünya genelindeki bilgisayar korsanları yahut APT kümeleri tarafından kullanılabilecek, halka açık birkaç açık kaynak projesinden gelen kodları içeriyor. Bilhassa 2024 yılı sonu itibariyle, açık kaynak projelerinde toplam 14 bin berbat maksatlı paket tespit edildi. Bu, 2023 yılı sonuna kıyasla %48’lik bir artışa karşılık geliyor ki, durum bu alandaki büyüyen tehdidi vurgular nitelikte.
Raporun tamamını Securelist.com adresinde okuyabilirsiniz.
Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin maksatlı saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:
- SOC grubunuzun en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Threat Intelligence, şirketin TI’sına tek bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber akın bilgilerini ve içgörüleri sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik grubunuzu en yeni maksatlı tehditlerle uğraş edecek halde geliştirin.
- Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini uygulayın.
- Temel uç nokta muhafazasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken bir evrede tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
- Birçok amaçlı taarruz kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform aracılığıyla grubunuza güvenlik farkındalığı eğitimi verin ve pratik marifetler öğretin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
