Kaspersky Küresel Araştırma ve Tahlil Takımı (GReAT), GhostContainer olarak isimlendirilen açık kaynaklı araçlara dayalı yeni bir art kapı ortaya çıkardı. Daha evvel bilinmeyen ve son derece özelleştirilmiş bu makus hedefli yazılım, kamu ortamlarındaki Exchange altyapısını maksat alan bir olay müdahale (IR) hadisesi sırasında keşfedildi. Yazılımın, yüksek teknoloji şirketleri de dahil olmak üzere Asya’daki yüksek kıymetli kuruluşları amaç alan gelişmiş kalıcı tehdit (APT) kampanyasının bir modülü olabileceği düşünülüyor.
Kaspersky tarafından App_Web_Container_1.dll olarak tespit edilen evrakın, çeşitli açık kaynak projelerinden yararlanan ve ek modül indirmeleri yoluyla rastgele işlevlerle dinamik olarak genişletilebilen karmaşık, çok fonksiyonlu bir art kapı olduğu ortaya çıktı.
Arka kapı, yüklendikten sonra saldırganlara Exchange sunucusu üzerinde tam denetim sağlayarak çok çeşitli makus niyetli faaliyetlere imkan tanıyor. Güvenlik tahlillerinin tespitinden kaçınmak için çeşitli kaçırma teknikleri kullanıyor ve olağan süreçlere karışmak için kendisini legal bir sunucu bileşeni halinde gösteriyor. Buna ek olarak, bir proxy ya da tünel misyonu görerek potansiyel olarak dahili ağı dış tehditlere maruz bırakabiliyor ya da hassas dataların iç sistemlerden dışarı sızmasını kolaylaştırabiliyor. Bu nedenle, kampanyanın gayesinin siber casusluk olduğundan şüpheleniliyor.
GReAT APAC & META Başkanı Sergey Lozhkin, şunları söylüyor: “Derinlemesine tahlilimiz, saldırganların Exchange sistemlerini istismar etme ve IIS ve Exchange ortamlarına sızma ile ilgili çeşitli açık kaynaklı projelerden yararlanmanın yanı sıra halka açık koda dayalı sofistike casusluk araçları oluşturma ve geliştirme konusunda epey yetenekli olduklarını ortaya koydu. Tehdit ortamını daha güzel anlamak için bu akınların kapsamı ve ölçeği ile birlikte faaliyetlerini izlemeye devam edeceğiz.”
Saldırganlar rastgele bir altyapıyı ifşa etmedikleri için şu anda GhostContainer’ı bilinen rastgele bir tehdit aktörü kümesiyle ilişkilendirmek mümkün değil. Berbat maksatlı yazılım, dünya genelindeki bilgisayar korsanları yahut APT kümeleri tarafından kullanılabilecek, halka açık birkaç açık kaynak projesinden gelen kodları içeriyor. Bilhassa 2024 yılı sonu itibariyle, açık kaynak projelerinde toplam 14 bin berbat gayeli paket tespit edildi. Bu, 2023 yılı sonuna kıyasla %48’lik bir artışa karşılık geliyor ki, durum bu alandaki büyüyen tehdidi vurgular nitelikte.
Raporun tamamını Securelist.com adresinde okuyabilirsiniz.
Kaspersky araştırmacıları, bilinen yahut bilinmeyen tehdit aktörlerinin gayeli saldırısının kurbanı olmamak için aşağıdaki tedbirlerin alınmasını öneriyor:
- SOC takımınızın en son tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Threat Intelligence, şirketin TI’sına tek bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir müddettir toplanan siber akın datalarını ve içgörüleri sağlar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik takımınızı en yeni maksatlı tehditlerle gayret edecek halde geliştirin.
- Uç nokta seviyesinde tespit, araştırma ve olayların vaktinde düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR tahlillerini uygulayın.
- Temel uç nokta müdafaasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ seviyesinde erken bir etapta tespit eden kurumsal seviyede bir güvenlik tahlili uygulayın.
- Birçok maksatlı taarruz kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform aracılığıyla takımınıza güvenlik farkındalığı eğitimi verin ve pratik marifetler öğretin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
News
Genel
Genel
Genel
Genel
Genel
Genel
