Kaspersky Managed Detection and Response uzmanları, Güney Afrikalı bir kuruluşa yönelik bir siber casusluk saldırısını gözlemliyor ve bunu Çince konuşan APT41 grubuyla ilişkilendiriyor. Tehdit aktörü Güney Afrika’da sınırlı faaliyet gösteriyor olsa da, bu olay saldırganların bölgedeki ülkelerden birindeki kamu BT hizmetlerini hedef aldığını ve kimlik bilgileri, dahili belgeler, kaynak kodu ile iletişim dahil olmak üzere hassas kurumsal verileri çalmaya çalıştığını ortaya koyuyor.
APT (Gelişmiş Kalıcı Tehdit), çoğu siber suç faaliyetini oluşturan olayların aksine, belirli kuruluşlara karşı özel tasarlanmış, gizli ve devam eden saldırılar gerçekleştirmesiyle bilinen bir tehdit kategorisi olarak adlandırılıyor. Güney Afrika’daki saldırı sırasında gözlemlenen saldırı teknikleri, Kaspersky’nin saldırıyı yüksek ihtimalle Çince konuşan APT41 grubuna atfetmesini sağlıyor. Saldırının birincil hedefi, bu tehdit aktörü için alışıldık bir amaç olan siber casusluk. Saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas verileri toplamaya çalışıyor. APT41’in Güney Afrika bölgesinde oldukça sınırlı faaliyet göstermesi dikkat çekici. APT41 siber casusluk konusunda uzmanlaşmış bir grup ve telekomünikasyon sağlayıcıları, eğitim ve sağlık kurumları, BT, enerji ve diğer sektörler de dahil olmak üzere çeşitli sektörlerdeki kuruluşları hedef alıyor. Grubun en az 42 ülkede faaliyet gösterdiği biliniyor.
Kaspersky uzmanlarının analizine göre, saldırganlar internete açık bir web sunucusu aracılığıyla kurumun ağına erişim sağlamış olabilirler. Saldırganlar, profesyonel terimde kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama tekniği kullanarak biri tüm iş istasyonlarında yerel yönetici haklarına sahip, diğeri etki alanı yöneticisi ayrıcalıklarına sahip bir yedekleme çözümüne ait olmak üzere iki ayrı kurumsal etki alanı hesabını ele geçirdi. Bu hesaplar saldırganların kurum içindeki diğer sistemleri de ele geçirmesine olanak sağladı.
Veri toplamak için kullanılan hırsızlardan biri, verileri dışa aktarmak ve şifresini çözmek için değiştirilmiş bir Pillager yardımcı programıydı. Saldırganlar kodu çalıştırılabilir bir dosyadan Dinamik Bağlantı Kitaplığına (DLL) derlediler. Bununla tarayıcılardan, veritabanlarından ve yönetim araçlarından kaydedilmiş kimlik bilgilerinin yanı sıra proje kaynak kodu, ekran görüntüleri, aktif sohbet oturumları ve verileri, e-posta yazışmaları, yüklü yazılım listeleri, işletim sistemi kimlik bilgileri, Wi-Fi kimlik bilgileri ve diğer bilgileri toplamayı amaçladılar.
Saldırı sırasında kullanılan ikinci hırsızlık aracı Checkout oldu. Bu araç kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen dosyalar ve tarayıcıda depolanan kredi kartı verileri hakkında da bilgi toplayabiliyordu. Saldırganlar ayrıca RawCopy yardımcı programını ve Mimikatz’ın Dinamik Bağlantı Kitaplığı (DLL) olarak derlenmiş bir sürümünü kayıt dosyalarını ve kimlik bilgilerini dökmek, ayrıca ele geçirilen ana bilgisayarlarda Komuta ve Kontrol (C2) iletişimi için Cobalt Strike’ı kullandılar.
Kaspersky Managed Detection and Response Lider SOC Analisti Denis Kulik, şunları söyledi:
“İlginç bir şekilde, saldırganlar Cobalt Strike’ın yanı sıra C2 iletişim kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiler. Bu sunucuyla bir web kabuğuna bağlı özel C2 aracıları kullanarak iletişim kurdular. SharePoint’i altyapıda zaten mevcut olan ve şüphe uyandırması muhtemel olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıca bu durum, muhtemelen meşru bir iletişim kanalı aracılığıyla veri sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları kontrol etmek için en uygun yolu sundu. Genel olarak kapsamlı uzmanlık ve tüm altyapının sürekli izlenmesi olmadan bu tür sofistike saldırılara karşı savunma yapmak mümkün değildir. Kötü niyetli faaliyetleri erken bir aşamada otomatik olarak engelleyebilen çözümlerle tüm sistemlerde tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına aşırı ayrıcalıklar vermekten kaçınmak çok önemlidir,”
Benzer saldırıları azaltmak veya önlemek için Kaspersky kuruluşların aşağıdaki en iyi uygulamaları takip etmeleri tavsiye ediyor:
- Olayların zamanında tespit edilmesini sağlamak ve olası hasarı en aza indirmek için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında konuşlandırıldığından emin olun.
- Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve kontrol edin. Özellikle altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için aşırı hak atamalarından kaçının.
- Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve EDR ve XDR’nin yanıt yeteneklerini sağlayan çözümleri kullanın. Mevcut ihtiyaçlarınıza ve kaynaklarınıza bağlı olarak, en uygun ürün katmanını seçebilir ve siber güvenlik gereksinimleriniz değişirse kolayca başka bir ürüne geçebilirsiniz.
- Tehdit tanımlamadan sürekli koruma ve düzeltmeye kadar tüm olay yönetimi döngüsünü kapsayan, güvenlik hizmetlerini benimseyin. Bunlar siber saldırılara karşı korunmaya, olayları araştırmaya ve şirkette siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar.
- InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine bir görünürlük sağlayın.
Kaynak : 