Devlet takviyeli siber taarruzlar sürat kesmiyor
ESET Research, Eylül-Aralık 2022 devrine ilişkin APT(gelişmiş kalıcı tehdit) Aktiflik Raporu’nu yayınladı.
ESET araştırmacıları tarafından hazırlanan rapora nazaran bu devirde Rusya ile temaslı APT kümeleri, yıkıcı bilgi silici ve fidye yazılımlar kullanarak bilhassa Ukrayna’yı gaye alan operasyonlarda yer almaya devam etti. Çin ilişkili bir küme olan Goblin Panda, Mustang Panda’nın Avrupa ülkelerine olan ilgisini kopyalamaya başladı. İran ilişkili kümeler da yüksek seviyede faaliyet gösteriyorlar. Sandworm ile birlikte, Callisto, Gamaredon üzere başka Rus APT kümeleri, Doğu Avrupa vatandaşlarını hedef alan kimlik avı akınlarına devam ettiler.
ESET APT Aktiflik Raporu’nda ön plana çıkan başlıklar şu formda sıralanıyor:
ESET, Ukrayna’da berbat şöhretli Sandworm kümesinin bir güç kesimi şirketine karşı evvelce bilinmeyen bir data silici yazılımı kullandığını tespit etti. APT kümelerinin operasyonları ekseriyetle devlet yahut devlet dayanaklı iştirakçiler tarafından gerçekleştiriliyor. Kelam konusu taarruz, Ekim ayında Rus silahlı kuvvetlerinin güç altyapısını gaye alan füze atakları başlatmasıyla tıpkı periyotta gerçekleşti. ESET, bu ataklar ortasındaki uyumu kanıtlayamasa da, Sandworm ve Rus ordusunun birebir maksadı taşıdığını öngörüyor.
ESET, daha evvel keşfedilen bir dizi bilgi silici yazılım ortasından en yeni olana NikoWiper ismini verdi. Bu yazılım, Ekim 2022’de Ukrayna’da güç kesiminde faaliyet gösteren bir şirkete karşı kullanılmıştı. NikoWiper, Microsoft’un belgeleri inançlı bir formda silmek için kullandığı bir komut satırı yardımcı programı olan SDelete tabanlı. ESET, bilgi silen makûs gayeli yazılıma ek olarak, fidye yazılımını silici olarak kullanan Sandworm akınlarını keşfetti. Bu akınlarda fidye yazılımı kullanılsa da asıl maksat bilgilerin imha edilmesi. Bilindik fidye yazılımı taarruzlarının bilakis, Sandworm operatörleri bir şifre çözme anahtarı sağlamıyor.
Ekim 2022’de Prestige fidye yazılımının Ukrayna ve Polonya’daki lojistik şirketlerine karşı kullanıldığı ESET tarafından tespit edildi. Kasım 2022’de Ukrayna’da RansomBoggs ismi verilen .NET’te yazılmış yeni bir fidye yazılımı keşfedildi. ESET Research, bu kampanyayı Twitter hesabında kamuoyuna bildirdi. Sandworm ile birlikte, Callisto ve Gamaredon üzere başka Rus APT kümeleri, kimlik bilgilerini çalmak ve implant yerleştirmek için Ukrayna maksatlı kimlik avı hücumlarına devam ettiler.
ESET araştırmacıları ayrıyeten Japonya’daki siyasalları gaye alan bir MirrorFace amaçlı kimlik avı saldırısı tespit etti ve birtakım Çin ilişkili kümelerin maksadında kademe değişikliği fark etti – Goblin Panda, Mustang Panda’nın Avrupa ülkelerine olan ilgisini kopyalamaya başladı. Kasım ayında ESET, Avrupa Birliği’ndeki bir devlet kuruluşunda TurboSlate ismini verdiği yeni bir Goblin Panda art kapısı keşfetti. Mustang Panda da Avrupa kuruluşlarını maksat almaya devam etti. Eylül ayında, İsviçre’nin güç ve mühendislik bölümündeki bir kuruluşta Mustang Panda tarafından kullanılan bir Korplug yükleyici tespit edildi.
İran kontaklı kümeler da akınlarına devam etti – POLONIUM, İsrail şirketlerinin yanı sıra, bu şirketlerin yabancı yan kuruluşlarını da gaye almaya başladı ve MuddyWater muhtemelen, faal bir güvenlik hizmeti sağlayıcısının güvenliğine sızdı.
Kuzey Kore temaslı kümeler, dünyanın çeşitli yerlerindeki kripto para şirketlerine ve borsalarına sızmak için eski güvenlik açıklarını kullandı. Farklı bir formda Konni, tuzak dokümanlarında kullandığı lisanları genişleterek, listesine İngilizceyi de ekledi; bu da her zamanki Rusya ve Güney Kore gayelerine odaklanmadığı manasına gelebilir.
Kaynak: (BYZHA) – Beyaz Haber Ajansı