Kaspersky, erişim yönetimi yazılımına enjekte edilen kötü amaçlı bir kod ile güvenli USB sürücülerin ele geçirilebildiğini tespit etti. Söz konusu sürücü, Güneydoğu Asya’daki bir kamu kurumu tarafından hassas ortamlardaki makineler arasında dosyaları güvenli bir şekilde depolamak ve aktarmak için kullanılıyordu. Sürücü içine enjekte edilen kötü amaçlı kod, sürücünün güvenli bölümünde kayıtlı gizli dosyaları çalmak ve aynı zamanda bir USB solucanı gibi davranarak bulaşmayı aynı türden USB sürücülere yaymak üzere tasarlanmıştı.
Bu taktik, geçen yıl UTetris USB yönetim yazılımını kullanan ve Kaspersky tarafından TetrisPhantom‘a atfedilen sürücülerin ele geçirilmesine benzese de, son olayda sürücüye yerleştirilen kötü amaçlı kod yeni oluşuyla dikkat çekiyordu. Bu saldırıda kullanılan Truva atı USB yönetim yazılımının yanı sıra, siber suç gruplarının dünya genelindeki saldırılarda kullandığı araçlardaki diğer trendlerin analizi en son Kaspersky Q3 APT raporunda yer alıyor.
Kaspersky’nin 3. Çeyrek APT raporunda açıklanan diğer önemli bulgular arasında şunlar yer alıyor:
Asya
Asya, Türkiye, Avrupa ve Rusya
Afrika ve Asya
Orta Doğu
- MuddyWater, 2017 yılında ortaya çıkan ve öncelikli olarak Orta Doğu, Avrupa ve ABD’deki ülkeleri hedef alan bir APT aktörü. Yakın zamanda Kaspersky, MuddyWater APT grubunun yetkisiz girişlerde kullanılan ve bugün hala aktif olan VBS/DLL tabanlı implantları ortaya çıkardı. İmplantlar Mısır, Kazakistan, Kuveyt, Fas, Umman, Suriye ve BAE’deki birçok kamu kurumu ve telekom kuruluşunda bulundu.
- Tropic Trooper (diğer adıyla KeyBoy veya Pirate Panda), 2011 yılından beri faaliyet gösteren bir APT grubu. Grubun hedefleri arasında kamu kurumlarının yanı sıra Tayvan, Filipinler ve Hong Kong’da bulunan sağlık, ulaşım ve yüksek teknoloji sektörleri yer alıyor. Kaspersky’nin en son analizi, grubun 2024 yılında Mısır’daki bir kamu kurumuna saldırı düzenlediğini ortaya çıkardı. Saldırıda muhtemelen Çince konuşan aktörler tarafından kullanılan bir saldırı bileşeni tespit edildi.
Rusya
Latin Amerika ve Asya
Kaspersky Güvenlik Araştırmaları Lideri David Emm, şunları söylüyor: “2024 yılı boyunca dünya genelinde Kaspersky tarafından 3 milyar yerel tehdit tespit edildi ve engellendi. Güvenli USB sürücülerdeki yazılımların ele geçirilmesi alışılmadık bir durum. Ancak bu durum aynı zamanda koruma altındaki lokal dijital alanların sofistike planlarla ele geçirilebileceği gerçeğinin altını çiziyor. Siber suçlular araç setlerini sürekli olarak güncelliyor ve faaliyetlerinin kapsamını genişleterek hedeflerini hem hedeflenen sektörler açısından hem de coğrafi olarak genişletiyor. Ayrıca APT tehdit aktörleri tarafından daha fazla açık kaynak araç kullanıldığını görüyoruz.”
Gelişmiş kalıcı tehditler (APT’ler), bir sisteme erişim sağlamak ve potansiyel olarak yıkıcı sonuçlar doğuracak şekilde uzun süre içeride kalmak için kullanılan sürekli, gizli ve sofistike bilgisayar korsanlığı tekniklerine karşılık geliyor. APT’ler genellikle ulus-devletler ve büyük şirketler gibi kritik öneme sahip hedeflere yönelik olarak saldırılarını gerçekleştiriyor. Nihai amaçları, birçok siyah şapkalı saldırganın daha düşük seviyeli siber saldırıları gerçekleştirirken yaptığı türden gibi basitçe “dalma ve hızla ayrılma” tekniklerinin aksine, yerleştikleri yerde uzun süre boyunca kalarak bilgi çalmaya odaklanıyor.
Kaspersky araştırmacıları, hedefli bir saldırının kurbanı olmamak için bireylere ve kurumlara şu tavsiyelerde bulunuyor:
- SOC ekibinizin en yeni tehdit istihbaratına (TI) erişmesini sağlayın. Kaspersky Threat Intelligence, şirketin TI’sına ortak erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verilerini ve içgörüleri tek bir noktadan sunar.
- GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle siber güvenlik ekibinizi en son hedefli tehditlerle mücadele edecek şekilde geliştirin.
- Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken aşamada tespit eden kurumsal düzeyde bir güvenlik çözümüne başvurun.
- Tüm varlıklarınızın kapsamlı bir şekilde korunmasını sağlamak için Kaspersky Next XDR Expert gibi merkezi ve otomatikleştirilmiş çözümler kullanın.
- Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform aracılığıyla ekibinize güvenlik bilinci eğitimi verin ve pratik beceriler kazandırın.
- İşletim sisteminizi ve yazılımlarınızı mümkün olan en kısa sürede güncelleyin ve bunu düzenli bir alışkanlık haline getirin.
