Kaspersky uzmanları birinci olarak Güneydoğu Asya’da tespit edilen az ve geniş ölçekli bir gelişmiş kalıcı tehdit (APT) kampanyasını ortaya çıkardı. Kaspersky, kimileri devlet kurumlarından olan yaklaşık 1.500 kurban tespit etti. Birinci bulaşma, berbat emelli bir Word evrakı içeren amaç odaklı kimlik avı e-postaları yoluyla gerçekleşiyor. Makûs gayeli yazılım sisteme indirildikten sonra çıkarılabilir USB şoförler aracılığıyla başka ana bilgisayarlara yayılabiliyor.
Gelişmiş kalıcı tehdit kampanyaları, tabiatları gereği yüksek oranda maksatlı olarak gerçekleştiriliyor. Birçok vakit cerrahi bir hassasiyetle yapılıyor ve sırf birkaç düzine kullanıcı amaç alınıyor. Kaspersky son vakitlerde nadiren kullanılan, fakat yeniden de sinema gibisi akın vektörüne sahip ender, yaygın bir tehdit kampanyasını ortaya çıkardı. Tehdit sisteme indirildikten sonra berbat hedefli yazılım, çıkarılabilir USB şoförler aracılığıyla yayılarak başka ana bilgisayarlara bulaşmaya çalışıyor. Bir şoför bulunursa, berbat emelli yazılım şoförde kapalı dizinler oluşturuyor ve berbat emelli yürütülebilir evraklarla birlikte kurbanın tüm belgelerini taşıyor.
LuminousMoth olarak isimlendirilen bu faaliyet, Ekim 2020’den bu yana devlet kurumlarına karşı siber casusluk taarruzları düzenliyor. Saldırganlar başlangıçta Myanmar’a odaklanırken, vakitle odağını Filipinler’e kaydırdı. Sisteme giriş noktası çoklukla Dropbox indirme temasına sahip amaç odaklı bir kimlik avı e-postası oluyor. İlişki tıklandığında, makûs gayeli yükü içeren Word evrakı kılığında bir RAR arşivi indiriliyor.
Kaspersky uzmanları, LuminousMoth’u orta ila yüksek itimat aralığında tanınmış, uzun müddettir Çince konuşan bir tehdit aktörü olan HoneyMyte tehdit kümesine bağlıyor. HoneyMyte, bilhassa Asya ve Afrika’da jeopolitik ve ekonomik istihbarat toplamakla ilgileniyor.
Küresel Araştırma ve Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “Bu yeni faaliyet kümesi, bir defa daha yıl boyunca şahit olduğumuz bir eğilime işaret ediyor. Çince konuşan tehdit aktörleri, yeni ve bilinmeyen berbat maksatlı yazılım implantlarını tekrar şekillendiriyor ve üretiyor.”
GReAT Güvenlik Araştırmacısı Aseel Kayal şunları ekliyor: “Saldırı epeyce az görülen devasa bir ölçeğe sahip. Filipinler’de Myanmar’dan daha fazla hücum görmemiz de farklı. Bunun nedeni USB şoförlerin yayılma sistemi olarak kullanılması olabilir yahut Filipinler’de kullanıldığının şimdi farkında olmadığımız öteki bir enfeksiyon vektörü olabilir.”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres, “Geçtiğimiz yıl Çince konuşan tehdit aktörlerinin artan aktifliğini görüyoruz. Bu büyük olasılıkla LuminousMoth’un son saldırısı olmayacak. Ayrıyeten, kümenin araç setini daha da geliştirmeye başlama mümkünlüğü da yüksek. Gelecekteki gelişmeleri dikkatle izleyeceğiz” diyor.
LuminousMoth hakkında daha fazla bilgiyi Securelist’ten edinebilirsiniz.
LuminousMoth üzere gelişmiş tehdit kampanyalarından korunmak için Kaspersky uzmanları şunları öneriyor:
- Hedefli akınların birçok kimlik avı yahut öteki toplumsal mühendislik teknikleriyle başladığı için çalışanınıza temel siber güvenlik hijyeni eğitimi verin.
- Ağlarınızın siber güvenlik kontrolünü gerçekleştirin. Etrafta yahut ağ içinde keşfedilen zayıflıkları sarfiyatın.
- Anti-APT ve EDR tahlillerinin kullanılması, tehdit keşfi ve tespiti, soruşturma ve olayların vaktinde düzeltilmesi yeteneklerini aktifleştirir. SOC grubunuzun en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle nizamlı olarak marifetlerini yükseltin. Üsttekilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.
- Uygun uç nokta müdafaasının yanı sıra, özel hizmetler yüksek profilli akınlara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar maksatlarına ulaşmadan evvel, taarruzları erken kademelerinde belirlemeye ve durdurmaya yardımcı olabilir.
Kaynak: (BHA) – Beyaz Haber Ajansı
