2020’nin ilk çeyreğindeki gelişmiş kalıcı tehdit (APT) faaliyetleri, zararlı yazılımların mobil platformları daha sık hedef aldığını, bazı saldırıların yalnızca mobil platforma yönelik düzenlendiğini gözler önüne serdi. Aynı zamanda, özellikle yeni grupların Asya’daki faaliyetlerini yoğunlaştırdıkları, geleneksel gelişmiş grupların ise operasyonlarında çok daha seçiçi oldukları görüldü. Bunlar ve dünya genelindeki diğer APT eğilimleri Kaspersky’nin en yeni üç aylık tehdit istihbaratı özetinde ele alındı.
Son üç aylık APT eğilimleri özeti, Kaspersky’nin özel tehdit istihbaratı araştırmalarının yanı sıra başka kaynaklardan toplanan bilgileri de içeriyor. Özette araştırmacıların herkesin bilmesi gerektiğine inandığı önemli gelişmeler yer alıyor.
2020’in ilk çeyreğinde elde edilen bulgular Asya’daki APT faaliyetlerinin Güneydoğu Asya, Kore ve Japonya’daki saldırılarla arttığını gösterdi. Kaspersky yaratıcı ve bazen düşük bütçeli saldırılarla adından söz ettiren yeni APT gruplarının CactusPete ve Lazarus gibi tanınmış grupların yanında varlığını hissettirmeye başladığını da gözlemledi.
Bunların yanı sıra mobil platformlara artan ilgi, bu platforma düzenlenen saldırıların ve zararlı yazılım dağıtımının artacağının sinyalini veriyor. Kaspersky yakın zaman önce mobil saldırılara odaklanan birçok saldırı hakkında raporlar yayınladı. Bunlar arasında, Hong Kong’da iOS ve Android cihazlarına yönelik LightSpy tuzak saldırısı ve Güneydoğu Asya’daki kurbanları hedef alan PhantomLance adlı Android casusluk saldırısı yer alıyor. Bu iki saldırıda da forumlar ve sosyal medyadan Google Play uygulama mağazasına kadar birçok farklı çevrim içi platformdan başarılı bir şekilde yararlanılması, saldırganların zararlı yazılımları dağıtmak için kullandığı akıllı yöntemleri gözler önüne seriyor.
Mobil zararlı yazılımları yalnızca Asya’yı hedef alan APT grupları kullanmıyor. Örneğin, TransparentTribe adlı grup “USBWorm” adını verdikleri yeni bir modülle Afganistan ve Hindistan’daki kullanıcıları hedef alan bir saldırı düzenledi. Geliştirilen zararlı yazılım Android cihazlarını etkiledi. Saldırıda kullanılan zararlı yazılım, GitHub’da herkese açık bulunabilen açık kaynaklı “AhMyth” Android uzaktan yönetim aracının değiştirilmiş bir sürümüydü.
COVID-19 salgını da Mart ayının ortasından beri çeşitli APT grupları tarafından kurbanları çekmek için kullanılıyor. Ancak bunun kurbanlardan yararlanmak için kullanılan popüler bir konu olmanın dışında yeni bir taktik için değerlendirildiği henüz görülmedi. COVID-19 konusunu kullanan APT grupları arasında Kimsuky, Hades ve DarkHotel yer alıyor.
Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Vincente Diaz, konuyla ilgili şöyle konuştu;
“APT faaliyetleri salgın sırasında durmadı.Bazı tehdit grupları bu durumdan farklı şekillerde yararlanmaya çalıştı. Örneğin, itibarlarını artırmak için bu dönemde sağlık kuruluşlarını hedef almayacaklarını açıklayanlar oldu. Elde ettiğimiz bulgular APT faaliyetlerini yönlendiren en önemli etkenlerin finansal kazanç ve jeopolitik konular olmaya devam ettiğini gösteriyor. Son iki yıl içinde ortaya çıkan gruplar kalıcı tehditler olarak yerlerini sağlamlaştırmış durumda. Mobil platformlara yönelik saldırılar artmaya devam ediyor. Yeni gruplar yaratıcı çözümlerle ortaya çıkarken daha tecrübeli gruplar ise neredeyse görünmez hale geldi. Bunun muhtemel nedeni hepimizin karşı karşıya kaldığı değişken şartlar olabilir. Her zaman olduğu gibi, her şeyi göremediğimizi ve henüz radarımıza girmeyen veya tamamen anlamadığımız faaliyetler olabileceğini hatırlatmakta fayda var. Bu nedenle bilindik ve bilinmedik tehditlere karşı korunmak herkes için büyük önem taşıyor.”
Birinci çeyrek APT eğilimleri raporu Kaspersky’nin yalnızca abonelerine sunduğu tehdit istihbaratı raporlarının bir özetini sunuyor. Raporda ayrıca araştırmalara ve zararlı yazılım avına yardımcı olacak Sızma Belirtileri (IOC) verileri ve YARA kuralları yer alıyor.
Kaspersky araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:
- Güvenlik merkezi ekiplerinizin en yeni Tehdit İstihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler.
- Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için bir uç nokta tespit ve müdahale çözümü kullanın.
- Uç nokta güvenlik çözümlerinizin mobil cihazlar için de koruma sağladığından emin olun. Bu çözüm, mobil platformları hedef alan web tehditlerine ve zararlı yazılımlara karşı koruma sağlamasının yanı sıra uygulama ve cihaz denetimi de sunmalı.
- Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden kurumsal sınıf bir güvenlik çözümü kullanın.
