Kaspersky, APT41 casusluk taarruzunda Güney Afrika’daki bir kuruluşun amaç alındığını bildirdi
Kaspersky Managed Detection and Response uzmanları, Güney Afrikalı bir kuruluşa yönelik bir siber casusluk saldırısını gözlemliyor ve bunu Çince konuşan APT41 kümesiyle ilişkilendiriyor. Tehdit aktörü Güney Afrika'da sonlu faaliyet gösteriyor olsa da, bu olay saldırganların bölgedeki ülkelerden birindeki kamu BT hizmetlerini maksat aldığını ve kimlik bilgileri, dahili evraklar, kaynak kodu ile bağlantı dahil olmak üzere hassas kurumsal dataları çalmaya çalıştığını ortaya koyuyor.APT (Gelişmiş Kalıcı Tehdit), birden fazla siber hata faaliyetini oluşturan olayların tersine, makul kuruluşlara karşı özel tasarlanmış, bâtın ve devam eden akınlar gerçekleştirmesiyle bilinen bir tehdit kategorisi olarak isimlendiriliyor. Güney Afrika'daki atak sırasında gözlemlenen atak teknikleri, Kaspersky'nin saldırıyı yüksek ihtimalle Çince konuşan APT41 kümesine atfetmesini sağlıyor. Taarruzun birincil maksadı, bu tehdit aktörü için alışıldık bir hedef olan siber casusluk. Saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas dataları toplamaya çalışıyor. APT41'in Güney Afrika bölgesinde epey hudutlu faaliyet göstermesi dikkat cazip. APT41 siber casusluk konusunda uzmanlaşmış bir küme ve telekomünikasyon sağlayıcıları, eğitim ve sıhhat kurumları, BT, güç ve başka bölümler de dahil olmak üzere çeşitli bölümlerdeki kuruluşları amaç alıyor. Kümenin en az 42 ülkede faaliyet gösterdiği biliniyor.Kaspersky uzmanlarının tahliline nazaran, saldırganlar internete açık bir web sunucusu aracılığıyla kurumun ağına erişim sağlamış olabilirler. Saldırganlar, profesyonel tabirde kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama tekniği kullanarak biri tüm iş istasyonlarında lokal yönetici haklarına sahip, başkası tesir alanı yöneticisi ayrıcalıklarına sahip bir yedekleme tahliline ilişkin olmak üzere iki farklı kurumsal tesir alanı hesabını ele geçirdi. Bu hesaplar saldırganların kurum içindeki öbür sistemleri de ele geçirmesine imkan sağladı.Veri toplamak için kullanılan hırsızlardan biri, dataları dışa aktarmak ve şifresini çözmek için değiştirilmiş bir Pillager yardımcı programıydı. Saldırganlar kodu çalıştırılabilir bir belgeden Dinamik Temas Kitaplığına (DLL) derlediler. Bununla tarayıcılardan, veritabanlarından ve idare araçlarından kaydedilmiş kimlik bilgilerinin yanı sıra proje kaynak kodu, ekran manzaraları, faal sohbet oturumları ve bilgileri, e-posta yazışmaları, yüklü yazılım listeleri, işletim sistemi kimlik bilgileri, Wi-Fi kimlik bilgileri ve öbür bilgileri toplamayı amaçladılar.Saldırı sırasında kullanılan ikinci hırsızlık aracı Checkout oldu. Bu araç kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen evraklar ve tarayıcıda depolanan kredi kartı dataları hakkında da bilgi toplayabiliyordu. Saldırganlar ayrıyeten RawCopy yardımcı programını ve Mimikatz'ın Dinamik İrtibat Kitaplığı (DLL) olarak derlenmiş bir sürümünü kayıt evraklarını ve kimlik bilgilerini dökmek, ayrıyeten ele geçirilen ana bilgisayarlarda Komuta ve Denetim (C2) irtibatı için Cobalt Strike'ı kullandılar.Kaspersky Managed Detection and Response Önder SOC Analisti Denis Kulik, şunları söyledi: "İlginç bir formda, saldırganlar Cobalt Strike'ın yanı sıra C2 bağlantı kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiler. Bu sunucuyla bir web kabuğuna bağlı özel C2 aracıları kullanarak irtibat kurdular. SharePoint'i altyapıda zati mevcut olan ve kuşku uyandırması beklenen olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıyeten bu durum, muhtemelen yasal bir irtibat kanalı aracılığıyla bilgi sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları denetim etmek için en uygun yolu sundu. Genel olarak kapsamlı uzmanlık ve tüm altyapının daima izlenmesi olmadan bu tıp sofistike ataklara karşı savunma yapmak mümkün değildir. Berbat niyetli faaliyetleri erken bir basamakta otomatik olarak engelleyebilen tahlillerle tüm sistemlerde tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına çok ayrıcalıklar vermekten kaçınmak çok kıymetlidir,"Benzer akınları azaltmak yahut önlemek için Kaspersky kuruluşların aşağıdaki en yeterli uygulamaları takip etmeleri tavsiye ediyor:
- Olayların vaktinde tespit edilmesini sağlamak ve mümkün hasarı en aza indirmek için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında konuşlandırıldığından emin olun.
- Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve denetim edin. Bilhassa altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için çok hak atamalarından kaçının.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve kesimdeki kuruluşlar için gerçek vakitli müdafaa, tehdit görünürlüğü, araştırma ve EDR ve XDR'nin karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın. Mevcut gereksinimlerinize ve kaynaklarınıza bağlı olarak, en uygun eser katmanını seçebilir ve siber güvenlik ihtiyaçlarınız değişirse kolay kolay diğer bir esere geçebilirsiniz.
- Tehdit tanımlamadan daima müdafaa ve düzeltmeye kadar tüm olay idaresi döngüsünü kapsayan, Kaspersky'nin Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin. Bunlar siber hücumlara karşı korunmaya, olayları araştırmaya ve şirkette siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar.
- InfoSec profesyonellerinize kurumunuzu gaye alan siber tehditler hakkında derinlemesine bir görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, tüm olay idaresi döngüsü boyunca güçlü ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.