Kaspersky Managed Detection and Response uzmanları, Güney Afrikalı bir kuruluşa yönelik bir siber casusluk saldırısını gözlemliyor ve bunu Çince konuşan APT41 kümesiyle ilişkilendiriyor. Tehdit aktörü Güney Afrika’da sonlu faaliyet gösteriyor olsa da, bu olay saldırganların bölgedeki ülkelerden birindeki kamu BT hizmetlerini maksat aldığını ve kimlik bilgileri, dahili evraklar, kaynak kodu ile bağlantı dahil olmak üzere hassas kurumsal dataları çalmaya çalıştığını ortaya koyuyor.
APT (Gelişmiş Kalıcı Tehdit), birden fazla siber hata faaliyetini oluşturan olayların bilakis, makul kuruluşlara karşı özel tasarlanmış, zımnî ve devam eden akınlar gerçekleştirmesiyle bilinen bir tehdit kategorisi olarak isimlendiriliyor. Güney Afrika’daki akın sırasında gözlemlenen hücum teknikleri, Kaspersky’nin saldırıyı yüksek ihtimalle Çince konuşan APT41 kümesine atfetmesini sağlıyor. Akının birincil maksadı, bu tehdit aktörü için alışıldık bir emel olan siber casusluk. Saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas bilgileri toplamaya çalışıyor. APT41’in Güney Afrika bölgesinde hayli sonlu faaliyet göstermesi dikkat cazip. APT41 siber casusluk konusunda uzmanlaşmış bir küme ve telekomünikasyon sağlayıcıları, eğitim ve sıhhat kurumları, BT, güç ve başka bölümler de dahil olmak üzere çeşitli bölümlerdeki kuruluşları gaye alıyor. Kümenin en az 42 ülkede faaliyet gösterdiği biliniyor.
Kaspersky uzmanlarının tahliline nazaran, saldırganlar internete açık bir web sunucusu aracılığıyla kurumun ağına erişim sağlamış olabilirler. Saldırganlar, profesyonel tabirde kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama tekniği kullanarak biri tüm iş istasyonlarında lokal yönetici haklarına sahip, başkası tesir alanı yöneticisi ayrıcalıklarına sahip bir yedekleme tahliline ilişkin olmak üzere iki başka kurumsal tesir alanı hesabını ele geçirdi. Bu hesaplar saldırganların kurum içindeki öbür sistemleri de ele geçirmesine imkan sağladı.
Veri toplamak için kullanılan hırsızlardan biri, bilgileri dışa aktarmak ve şifresini çözmek için değiştirilmiş bir Pillager yardımcı programıydı. Saldırganlar kodu çalıştırılabilir bir evraktan Dinamik İlişki Kitaplığına (DLL) derlediler. Bununla tarayıcılardan, veritabanlarından ve idare araçlarından kaydedilmiş kimlik bilgilerinin yanı sıra proje kaynak kodu, ekran manzaraları, faal sohbet oturumları ve bilgileri, e-posta yazışmaları, yüklü yazılım listeleri, işletim sistemi kimlik bilgileri, Wi-Fi kimlik bilgileri ve başka bilgileri toplamayı amaçladılar.
Saldırı sırasında kullanılan ikinci hırsızlık aracı Checkout oldu. Bu araç kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen evraklar ve tarayıcıda depolanan kredi kartı bilgileri hakkında da bilgi toplayabiliyordu. Saldırganlar ayrıyeten RawCopy yardımcı programını ve Mimikatz’ın Dinamik Temas Kitaplığı (DLL) olarak derlenmiş bir sürümünü kayıt belgelerini ve kimlik bilgilerini dökmek, ayrıyeten ele geçirilen ana bilgisayarlarda Komuta ve Denetim (C2) bağlantısı için Cobalt Strike’ı kullandılar.
Kaspersky Managed Detection and Response Önder SOC Analisti Denis Kulik, şunları söyledi: “İlginç bir formda, saldırganlar Cobalt Strike’ın yanı sıra C2 bağlantı kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiler. Bu sunucuyla bir web kabuğuna bağlı özel C2 aracıları kullanarak irtibat kurdular. SharePoint’i altyapıda esasen mevcut olan ve kuşku uyandırması mümkün olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıyeten bu durum, muhtemelen legal bir bağlantı kanalı aracılığıyla bilgi sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları denetim etmek için en uygun yolu sundu. Genel olarak kapsamlı uzmanlık ve tüm altyapının daima izlenmesi olmadan bu tıp sofistike taarruzlara karşı savunma yapmak mümkün değildir. Makûs niyetli faaliyetleri erken bir evrede otomatik olarak engelleyebilen tahlillerle tüm sistemlerde tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına çok ayrıcalıklar vermekten kaçınmak çok değerlidir,”
Benzer hücumları azaltmak yahut önlemek için Kaspersky kuruluşların aşağıdaki en uygun uygulamaları takip etmeleri tavsiye ediyor:
- Olayların vaktinde tespit edilmesini sağlamak ve mümkün hasarı en aza indirmek için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında konuşlandırıldığından emin olun.
- Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve denetim edin. Bilhassa altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için çok hak atamalarından kaçının.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve daldaki kuruluşlar için gerçek vakitli müdafaa, tehdit görünürlüğü, araştırma ve EDR ve XDR’nin cevap yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın. Mevcut gereksinimlerinize ve kaynaklarınıza bağlı olarak, en uygun eser katmanını seçebilir ve siber güvenlik ihtiyaçlarınız değişirse kolay kolay öteki bir esere geçebilirsiniz.
- Tehdit tanımlamadan daima muhafaza ve düzeltmeye kadar tüm olay idaresi döngüsünü kapsayan, Kaspersky’nin Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin. Bunlar siber hücumlara karşı korunmaya, olayları araştırmaya ve şirkette siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar.
- InfoSec profesyonellerinize kurumunuzu gaye alan siber tehditler hakkında derinlemesine bir görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, tüm olay idaresi döngüsü boyunca güçlü ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.
Olayın detaylı analizini Securelist’te bulabilirsiniz.
Kaspersky Managed Detection and Response hizmeti, kuşkulu aktiflikleri izler ve kurumların atağın tesirini en aza indirmek için süratli bir biçimde karşılık vermesine yardımcı olur. Bu hizmet, Fortune Küresel 500 kuruluşları için olay müdahalesi, yönetilen tespit, SOC danışmanlığı, kırmızı grup, sızma testi, uygulama güvenliği ve dijital risklerin korunması üzere her yıl yüzlerce bilgi güvenliği projesi sunan bir grup olan Kaspersky Security Services‘in bir parçasıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
