Siber güvenlik şirketi ESET, gelişmiş kalıcı tehdit (APT) kümelerinin Nisan ve Eylül 2023 arasındaki faaliyetlerini özetleyen APT Faaliyet Raporu’nu yayınladı. ESET araştırmacıları tarafından izlenen, araştırılan ve analiz edilen verilere dayanan rapor, siber güvenlik şirketlerinin sürekli saldırılarına dikkat çekiyor. Avrupa Birliği’nde Çin bağlantıları olan gruplar ve Rusya’nın Ukrayna’ya karşı yürüttüğü siber savaşın sabotajdan casusluğa dönüşümü.
ESET Araştırma raporunda, çeşitli APT kümelerinin devlet kurumlarından veya ilgili kuruluşlardan bilgi sızdırmak için bilinen güvenlik açıklarından yararlandığını gözlemledi.
Rusya ile bağlantılı Sednit ve Sandworm, Kuzey Kore ile bağlantılı Konni ve herhangi bir coğrafi bölgeye bağlanamayan Winter Vivern ve Sturgeon Phisher kümeleri, WinRAR (Sednit, SturgeonPhisher ve Konni), Roundcube (Sednit ve Winter Vivern), Zimbra (Winter Vivern) ) ve Windows için Outlook. Sednit’in güvenlik açıklarından yararlanarak sadece Ukrayna’da değil, Avrupa ve Orta Asya’da da çeşitli devlet kuruluşlarını hedef aldı. Çin bağlantılı tehdit aktörleriyle ilgili olarak GALLIUM, muhtemelen Microsoft Exchange sunucularındaki veya IIS sunucularındaki güvenlik açıklarından yararlanarak hedefini telekomünikasyon operatörlerinden dünya çapındaki devlet kuruluşlarına kadar genişletti. Muhtemelen MirrorFace, Proself çevrimiçi depolama hizmetindeki güvenlik açıklarından yararlanırken TA410, Adobe ColdFusion uygulama sunucusundaki güvenlik açıklarından yararlandı.
İran ve Orta Doğu bağlantılı kümeler, öncelikli olarak İsrail’deki kuruluşlardan casusluk ve veri hırsızlığına odaklanarak yüksek hacimli bir faaliyet sürdürdü. Özellikle İran bağlantılı MuddyWater’ın Suudi Arabistan’da kimliği belirsiz bir kuruluşu da hedef alması, bu tehdit aktörünün daha gelişmiş bir küme için erişim geliştirme grubu olarak hizmet etme olasılığını akla getiriyor.
Rusya ile ilgili kümelerin ana hedefi, tümü Sandworm tarafından kullanılan mevcut RoarBat ve NikoWiper sileceklerinin yeni versiyonlarının yanı sıra SharpNikoWiper adlı yeni bir sileceğin keşfedildiği Ukrayna idi. Gamaredon, GREF ve SturgeonPhisher gibi diğer gruplar Telegram kullanıcılarını Telegram hakkında bilgi veya en azından bazı meta verileri sızdırmak için hedeflerken, Sandworm bu hizmeti her zaman aktif ölçüm amacıyla kullanıyor ve siber sabotaj operasyonlarının reklamını yapıyor. Ancak Ukrayna’daki en aktif küme, mevcut araçları yeniden geliştirerek ve yenilerini tanıtarak veri toplama yeteneklerini önemli ölçüde artıran Gamaredon’dur.
Kuzey Kore bağlantılı kümeler, dikkatlice seçilmiş hedefler için kimlik avı e-postaları kullanarak Japonya, Güney Kore ve Güney Kore odaklı kuruluşları hedeflemeye devam etti. Gözlemlenen en aktif Lazarus planı, hedefleri kazançlı pozisyonlar için sahte iş teklifleriyle cezbeden DreamJob operasyonuydu. Bu küme, tüm büyük masaüstü platformları için kötü amaçlı yazılım oluşturma yeteneğini her zaman kanıtlamıştır.
ESET araştırmacıları, daha önce tanımlanamayan Çin’e bağlı üç kümenin operasyonlarını ortaya çıkardı: AB’deki bir hükümet kuruluşunu defalarca tehlikeye sokan DigitalRecyclers, ortada düşmanca saldırılar gerçekleştiren TheWizards ve AB’deki başka bir hükümet kuruluşunu hedef alan PerplexedGoblin.
ESET APT Etkinlik Raporları, ESET özel APT raporu müşterilerine sağlanan siber güvenlik istihbaratı bilgilerinin yalnızca bir kısmını içerir. ESET araştırmacıları, vatandaşları, kritik ulusal altyapıyı ve yüksek fiyatlı varlıkları bilgisayar korsanlarından ve devlet kurumlarından koruma misyonuna sahip kuruluşlara yardımcı olmak için ESET APT Raporları PREMIUM formatında belirli APT kümelerinin faaliyetlerini ayrıntılandıran ayrıntılı teknik raporlar ve sık sık etkinlik güncellemeleri üretir. siber saldırılar gerçekleştirin. Yüksek kaliteli, stratejik, eyleme geçirilebilir ve taktiksel siber güvenlik tehdit istihbaratı sağlayan ESET APT Reports PREMIUM hakkında daha fazla bilgiye ESET Tehdit İstihbaratı sayfasından ulaşabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
