Yeni SandStrike casus yazılımı, Android kullanıcılarını hedefliyor
Kaspersky GReAT Baş Güvenlik Araştırmacısı Victor Chebyshev:
- "APT aktörleri artık saldırı araçları oluşturmak ve yeni kötü niyetli kampanyalar başlatmak için eski araçlarının geliştirilmiş sürümlerini kurnaz yaklaşımlar eşliğinde yoğun biçimde kullanıyor"
İSTANBUL - Kaspersky araştırmacıları, 2022'nin üçüncü çeyreğinde SandStrike isimli daha önce bilinmeyen bir Android odaklı casusluk kampanyasını ortaya çıkardı.
Kaspersky açıklamasına göre, saldırının arkasındakiler, gelişmiş casus yazılımlar içeren bir VPN uygulaması dağıtarak Farsça konuşan bir azınlığı hedef alıyor. Kaspersky uzmanları, ayrıca DeathNote kümesinin gelişmiş bir sürümünü keşfetti ve SentinelOne ile birlikte daha önce hiç görülmemiş bir kötü amaçlı yazılım Metatron'u mercek altına aldı. Bu ve diğer keşifler, Kaspersky'nin son yayınladığı 3 aylık tehdit istihbaratı özetinde yer alıyor.
Saldırganlar, kurbanları casus yazılımları indirmeye ikna etmek için 1.000'den fazla takipçisi olan Facebook ve Instagram hesapları kurdu ve dini temalı çekici grafikler tasarlayarak söz konusu inancın yandaşlarına etkili bir tuzak hazırladı. Kurgulanan sosyal medya hesaplarının çoğu, saldırgan tarafından oluşturulan bir Telegram kanalına bağlantı içeriyor.
Telegram kanalında SandStrike yazılımının arkasındaki aktör, dini içerikli materyaller gibi belirli bölgelerde yasaklanmış sitelere erişmek için görünüşte zararsız bir VPN uygulaması dağıtıyor. Bu uygulamayı tamamen işlevsel hale getirmek için saldırganlar kendi VPN altyapılarını dahi kuruyor.
Söz konusu VPN istemcisi, tehdit aktörlerinin arama günlükleri ve bağlantı listeleri dahil olmak üzere tüm hassas verileri toplamasına ve çalmasına, ayrıca zulme uğrayan bireylerin etkinliklerini izlemesine olanak tanıyan tam işlevli bir casus yazılım içeriyor.
2022'nin üçüncü çeyreği boyunca APT oyuncuları sürekli olarak taktiklerini değiştiriyor, araç setlerini yeniliyor ve yeni teknikler geliştiriyor.
Doğru araçlarla donanmış olduğunuzdan emin olmak çok önemli
Kaspersky araştırmacıları, SentinelOne ile birlikte Metatron isimli daha önce hiç görülmemiş karmaşık bir kötü amaçlı yazılım platformunu analiz etti. Metatron, özellikle Orta Doğu ve Afrika ülkelerindeki telekomünikasyon, internet servis sağlayıcıları ve üniversiteleri hedefliyor. Metatron, kötü amaçlı yazılım platformlarını doğrudan belleğe dağıtarak yerel güvenlik çözümlerini atlamak için tasarlanmış.
Kaspersky uzmanları, Lazarus'un DeathNote kümesinin Güney Kore'deki kurbanlara karşı kullanıldığını gözlemledi. Saldırgan, muhtemelen bir uç nokta güvenlik programına saldıran Kaspersky araştırmacılarının daha önce bildirdiğine benzer bir enfeksiyon zinciri kullanarak stratejik bir web tehdidini devreye sokuyor. Uzmanlar, kötü amaçlı yazılımın ve bulaşma yöntemlerinin de güncellendiğini keşfetti. Saldırgan, C2 sunucusundan komutları yürütmek için minimum işlevsellikle daha önce görülmemiş bir kötü amaçlı yazılım kullandı. Bu sonradan eklenmiş arka kapıyı kullanan operatör, bir ay boyunca kurbanın sistemlerinde saklandı ve sistem bilgilerini topladı.
2022'nin üçüncü çeyreğinde Kaspersky araştırmacıları, ana hedefi devlet kurumları olan çok sayıda APT kampanyası tespit etti.
Açıklamada görüşlerine yer verilen Kaspersky GReAT Baş Güvenlik Araştırmacısı Victor Chebyshev, "Son 3 ayın analizinden gördüğümüz üzere, APT aktörleri artık saldırı araçları oluşturmak ve yeni kötü niyetli kampanyalar başlatmak için eski araçlarının geliştirilmiş sürümlerini kurnaz yaklaşımlar eşliğinde yoğun biçimde kullanıyor. Kurbanların kendilerini güvene almaya çalıştığı bir VPN hizmeti üzerinden saldırıda bulunan SandStrike buna mükemmel bir örnek. Bugün kötü amaçlı yazılımları sosyal ağlar aracılığıyla dağıtmak, birkaç ay veya daha uzun süre fark edilmeden kalmak oldukça kolay. Bu yüzden her zamanki gibi tetikte olmak, mevcut ve ortaya çıkacak tehditlerden korunmak için tehdit istihbaratı ve doğru araçlarla donanmış olduğunuzdan emin olmak çok önemli." ifadelerini kullandı.
Güvenlik bilinci eğitimini yaygınlaştırın
Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörü tarafından hedeflenen bir saldırının kurbanı olmaktan korunmak için şunları öneriyor:
"SOC ekibinizin en son tehdit istihbaratına erişim sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin tehdit istihbaratı için son 20 yılda Kaspersky tarafından toplanan siber saldırı verilerini ve öngörülerini sağlayan ortak erişim noktasıdır. İşletmelerin bu zor zamanlarda etkili savunmalar yapmasına yardımcı olmak için Kaspersky, devam eden siber saldırılar ve tehditler hakkında bağımsız, sürekli güncellenen ve küresel kaynaklı bilgilere ücretsiz erişim sunuyor. GReAT uzmanları tarafından geliştirilen Kaspersky çevrim içi eğitimiyle siber güvenlik ekibinin en son hedefli tehditlerle başa çıkmalarına yardımcı olmak üzere becerilerini artırabilirsiniz.
Kaspersky EDR Expert gibi kurumsal düzeyde bir EDR çözümünü kullanın. Çözümün uyarıları olaylarla otomatik olarak eşleştirmesi sayesinde dağınık uyarı seli arasındaki tehditleri tespit etmek, olayı etkili şekilde analiz etmek ve müdahalede bulunmak açısından esastır. Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi ağ düzeyindeki gelişmiş tehditleri erken bir aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü uygulayın. Birçok hedefli saldırı kimlik avı gibi sosyal mühendislik teknikleriyle başladığından, Kaspersky Automated Security Awareness Platform gibi araçları kullanarak güvenlik bilinci eğitimini yaygınlaştırın ve ekibinize pratik beceriler kazandırın."