Kaspersky, Evasive Panda’nın Türkiye, Çin ve Hindistan’ı maksat alan yeni odaklı ataklarını ortaya çıkardı

0

BEĞENDİM

ABONE OL

News

0

Kaspersky, Evasive Panda isimli tehdit aktörü tarafından yürütülen sofistike bir siber casusluk kampanyasına ilişkin yeni bulgularını paylaştı. Saldırganlar, ziyanlı yazılımları legal sistem süreçlerine enjekte ederek çalıştırdı ve ele geçirilen sistemlerde uzun müddet fark edilmeden kalmayı başardığı tespit edildi. Kasım 2022 ile Kasım 2024 ortasında etkin olan operasyon kapsamında Türkiye, Çin ve Hindistan’daki sistemler gaye alındı; kimi enfeksiyonların bir yılı aşkın müddet boyunca devam ettiği tespit edildi. Bu durum, kümenin daima gelişen taktiklerini ve maksat ağlara uzun vadeli sızma konusundaki kararlılığını gözler önüne seriyor.

Saldırılarda, SohuVA, iQIYI Görüntü, IObit Smart Defrag ve Tencent QQ üzere tanınan Windows uygulamalarına ilişkin yazılım güncellemeleri üzere görünen aldatıcı tuzaklar kullanıldı. Düzmece güncelleyiciler, sağlam yazılımlarla uyumlu görünecek biçimde tasarlanarak saldırganların makûs emelli faaliyetleri birinci basamakta fark edilmeden başlatmasına imkan tanıdı. Ayrıyeten saldırganlar, DNS zehirleme tekniği kullanarak bir ziyanlı yazılım bileşenini kendi sunucularından dağıttı ve bu bileşenin tanınan ve yasal bir internet sitesinde barındırılıyormuş izlenimi vermesini sağladı.

Saldırının merkezinde, Evasive Panda tarafından en az 2012’den bu yana siber casusluk hedefiyle kullanılan, on yılı aşkın geçmişe sahip modüler bir ziyanlı yazılım çerçevesi olan MgBot yer alıyor. Tuş kaydı alma, evrak hırsızlığı ve komut çalıştırma üzere fonksiyonlar için eklentiler içeren MgBot, 2022–2024 devrindeki ataklar kapsamında yeni yapılandırmalarla güncellendi. Bu güncellemeler ortasında, atakların kesintisiz devam etmesini ve uzun periyodik erişimi garanti altına almak emeliyle birden fazla komuta-kontrol (C2) sunucusunun devreye alınması da bulunuyor.

Kaspersky güvenlik uzmanı Fatih Sensoy, bahse ait şu değerlendirmede bulundu:“Bu kampanya, saldırganların savunma sistemlerinden kaçınma konusundaki gayretlerini ve MgBot üzere kendini kanıtlamış araçları yine kullanma stratejilerini açıkça ortaya koyuyor. İki yıl süren bu operasyon, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı yansıtıyor. Bilhassa dikkat çeken nokta, implantların sunucu tarafında işletim sistemi ortamına özel olarak uyarlanması; bu da son derece gayeli bir casusluk faaliyetine imkan tanıyor. Kurumların bu çeşit uzun soluklu kampanyalara karşı, tehdit istihbaratına dayalı proaktif güvenlik tedbirleri alması büyük değer taşıyor.”

Kaspersky, kurumları ve ferdi kullanıcıları bu ve gibisi tehditlere karşı dikkatli olmaya çağırıyor. Yürütülen araştırma doğrultusunda Kaspersky’nin teklifleri şöyle sıralanıyor:

• Yazılım güncellemeleri sürecinde çok faktörlü kimlik doğrulamanın uygulanması ve güncelleme paketlerinin; beklenmeyen evrak konumlandırmaları yahut bilinen ziyanlı şablonlarla kod benzerlikleri üzere anomalilere karşı uç nokta algılama ve cevap (EDR) tahlilleriyle ayrıntılı biçimde incelenmesi öneriliyor.
• Ortadaki Adam (Adversary-in-the-Middle – AitM) hücumlarına yönelik göstergelerin tespiti için ağ izleme yetkinliklerinin güçlendirilmesi; DNS cevapları ile ağ trafiğinin, zehirleme yahut müdahale belirtileri açısından nizamlı olarak denetlenmesi kıymet taşıyor.
• Kullanıcıların, sağlam tedarikçilerden geliyormuş üzere görünen düzmece güncelleme temalı oltalama (phishing) teşebbüslerini ayırt edebilmeleri için farkındalık ve eğitim çalışmalarının artırılması gerekiyor.
• Bireysel kullanıcıların ise sağlam ve kendini kanıtlamış muhafaza tahlilleri kullanarak sistemlerinde proaktif ziyanlı yazılım taramaları gerçekleştirmesi tavsiye ediliyor.

Detaylı bilgilere link üzerinden ulaşılabilir.

Kaynak: (BYZHA) Beyaz Haber Ajansı