Kaspersky uzmanları, OilRig APT’nin Orta Doğu ve Türkiye’de artan BT tedarik zinciri hücumlarına karşı uyardı!
Kaspersky araştırmacıları, geçtiğimiz günlerde Kazakistan’ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde, Orta Doğu ve Türkiye’de on yılı aşkın müddettir etkin olan OilRig Gelişmiş Kalıcı Tehdit (APT) kümesi tarafından geliştirildiği düşünülen yeni bir makus gayeli yazılımın bir dizi taarruz gerçekleştirdiğini duyurdu. Küme, Orta Doğu, Türkiye ve Afrika’daki yüksek profilli devlet kurumlarını siber casusluk hedefiyle amaç almasıyla tanınıyor.
OilRig APT, genellikle toplumsal mühendislik taktiklerini kullanarak kurbanlarının yazılım ve teknik mevzulardaki açıklarından faydalanıyor. Bununla birlikte Kaspersky uzmanları, kümenin araç setini güncellediğini ve üçüncü parti BT şirketleri aracılığıyla maksatlarına sızmak için ısrarcı ve daha bilinmeyen yollara başvurduğunu fark etti.
Kaspersky uzmanları, 2022’nin sonlarında başlayan ve devam eden bir araştırma sırasında APT kümesinin bölgedeki BT şirketlerinin terminal sunucularına erişmek için PowerShell komut belgeleri çalıştırdığını ve amaçları hakkında kimlik bilgileri ve hassas bilgiler topladığını keşfetti. Küme çalınan bilgileri amaçlarına sızmak, Komuta ve Denetim (C2) bağlantıları gerçekleştirmek ve bilgi sızdırmak gayesiyle Microsoft Exchange Web Hizmetlerine dayanan makus maksatlı yazılım örneklerini dağıtmak için kullandı. İncelenen berbat maksatlı yazılımın, kelam konusu tehdit aktörü tarafından kullanılan eski bir berbat gayeli yazılımın varyantı olduğu görüldü.
Grup, daima ve kapalı erişim sağlamak için lokal tesir alanı parola değişikliklerinin engellenmesini sağlayan yeni bir DLL tabanlı parola filtresi kullandı. Bu sayede saldırganlar, amaçların e-posta hizmetleri üzerinden saldırganların denetimindeki Protonmail ve Gmail adreslerine gönderilen bildiriler aracılığıyla hassas bilgilerle birlikte güncellenmiş şifreleri de çalmayı başardı.
Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout, şunları söyledi: ” Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde duyurduğumuz üzere OilRig, üçüncü parti bilişim şirketlerini istismar etmek için kullandığı karmaşık ve büyük ölçüde değiştirilmiş taktik, teknik ve prosedürlerle ‘gizli mod’ kavramını bir üst düzeye taşıdı. Araştırmalarımız, üçüncü parti taarruzlarının başka taktiklere kıyasla daha bâtın, çevik ve tespit edilmeden kaldığını ve bu bölgedeki devlet kurumlarının işleyişi için önemli risk oluşturduğunu ortaya koyuyor. Tedarik zincirinin bir kesimi olan BT şirketlerine sızmaya yönelik bu radikal değişim, bölgesel devlet kurumlarının siber güvenlik oyunlarını hızlandırdığının ve APT kümelerini kalıpların dışında düşünmeye ittiğinin bir göstergesi niteliğinde.”
Kaspersky araştırmacıları, devletlere ve işletmelere aşağıdaki ipuçlarını takip etmelerini ve kendilerini üçüncü taraf tedarik zinciri ataklarının kurbanı olmaktan muhafazalarını öneriyor:
- Kurumunuzun hudutlarının ötesindeki data ve varlıklarını da koruyan bütünsel, âlâ entegre edilmiş bir siber güvenlik yaklaşımına yatırım yapın.
- Tehdit İstihbaratından yararlanmak çok kıymetlidir. Kaspersky Threat Intelligence Portal gibi tahlilleri kullanmak, BT takımlarınızı gerçek vakitli bilgiler ve içgörülerle donatabilir ve güçlü bir savunma oluşturmak için varlıklı bir uzmanlık kaynağına erişim sağlayabilir.
- Kurumunuz içinde bir sızma testi yapın ve üçüncü parti hizmet sağlayıcılarınızı bunun dışında bırakmayın.
- Siber savunmanız, lakin birinci savunma sınırı olarak kabul edilen çalışanlarınız kadar güçlüdür. Her büyüklükteki şirket için siber farkındalık eğitimini otomatikleştiren Kaspersky Automated Security Awareness Platform gibi tahlillerle onları gerçek bilgilerle donatın
- Verilerinizi nizamlı olarak yedekleyin ve vakit zaman bütünlüğünü denetim edin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
