Kaspersky uzmanları birinci olarak Güneydoğu Asya’da tespit edilen az ve geniş ölçekli bir gelişmiş kalıcı tehdit (APT) kampanyasını ortaya çıkardı. Kaspersky, kimileri devlet kurumlarından olan yaklaşık 1.500 kurban tespit etti. Birinci bulaşma, makus hedefli bir Word evrakı içeren gaye odaklı kimlik avı e-postaları yoluyla gerçekleşiyor. Makus hedefli yazılım sisteme indirildikten sonra çıkarılabilir USB şoförler aracılığıyla öteki ana bilgisayarlara yayılabiliyor.
Gelişmiş kalıcı tehdit kampanyaları, tabiatları gereği yüksek oranda gayeli olarak gerçekleştiriliyor. Birçok vakit cerrahi bir hassasiyetle yapılıyor ve sadece birkaç düzine kullanıcı amaç alınıyor. Kaspersky son vakitlerde nadiren kullanılan, fakat yeniden de sinema gibisi hücum vektörüne sahip ender, yaygın bir tehdit kampanyasını ortaya çıkardı. Tehdit sisteme indirildikten sonra makus gayeli yazılım, çıkarılabilir USB şoförler aracılığıyla yayılarak başka ana bilgisayarlara bulaşmaya çalışıyor. Bir şoför bulunursa, makus gayeli yazılım şoförde bâtın dizinler oluşturuyor ve berbat maksatlı yürütülebilir evraklarla birlikte kurbanın tüm evraklarını taşıyor.
LuminousMoth olarak isimlendirilen bu faaliyet, Ekim 2020’den bu yana devlet kurumlarına karşı siber casusluk atakları düzenliyor. Saldırganlar başlangıçta Myanmar’a odaklanırken, vakitle odağını Filipinler’e kaydırdı. Sisteme giriş noktası ekseriyetle Dropbox indirme temasına sahip maksat odaklı bir kimlik avı e-postası oluyor. İrtibat tıklandığında, berbat hedefli yükü içeren Word dokümanı kılığında bir RAR arşivi indiriliyor.
Kaspersky uzmanları, LuminousMoth’u orta ila yüksek inanç aralığında tanınmış, uzun müddettir Çince konuşan bir tehdit aktörü olan HoneyMyte tehdit kümesine bağlıyor. HoneyMyte, bilhassa Asya ve Afrika’da jeopolitik ve ekonomik istihbarat toplamakla ilgileniyor.
Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “Bu yeni faaliyet kümesi, bir kere daha yıl boyunca şahit olduğumuz bir eğilime işaret ediyor. Çince konuşan tehdit aktörleri, yeni ve bilinmeyen berbat emelli yazılım implantlarını yine şekillendiriyor ve üretiyor.”
GReAT Güvenlik Araştırmacısı Aseel Kayal şunları ekliyor: “Saldırı epey az görülen devasa bir ölçeğe sahip. Filipinler’de Myanmar’dan daha fazla taarruz görmemiz de enteresan. Bunun nedeni USB şoförlerin yayılma sistemi olarak kullanılması olabilir yahut Filipinler’de kullanıldığının şimdi farkında olmadığımız öteki bir enfeksiyon vektörü olabilir.”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres, “Geçtiğimiz yıl Çince konuşan tehdit aktörlerinin artan aktifliğini görüyoruz. Bu büyük olasılıkla LuminousMoth’un son saldırısı olmayacak. Ayrıyeten, kümenin araç setini daha da geliştirmeye başlama mümkünlüğü da yüksek. Gelecekteki gelişmeleri dikkatle izleyeceğiz” diyor.
LuminousMoth hakkında daha fazla bilgiyi Securelist’ten edinebilirsiniz.
LuminousMoth üzere gelişmiş tehdit kampanyalarından korunmak için Kaspersky uzmanları şunları öneriyor:
- Hedefli atakların birden fazla kimlik avı yahut öbür toplumsal mühendislik teknikleriyle başladığı için çalışanınıza temel siber güvenlik hijyeni eğitimi verin.
- Ağlarınızın siber güvenlik kontrolünü gerçekleştirin. Etrafta yahut ağ içinde keşfedilen zayıflıkları sarfiyatın.
- Anti-APT ve EDR tahlillerinin kullanılması, tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi yeteneklerini aktifleştirir. SOC takımınızın en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle nizamlı olarak hünerlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta müdafaasının yanı sıra, özel hizmetler yüksek profilli taarruzlara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar maksatlarına ulaşmadan evvel, taarruzları erken kademelerinde belirlemeye ve durdurmaya yardımcı olabilir.
Kaynak: (BHA) – Beyaz Haber Ajansı
