Saldırganlar, zararlı yazılımları meşru sistem süreçlerine enjekte ederek çalıştırdı ve ele geçirilen sistemlerde uzun süre fark edilmeden kalmayı başardığı tespit edildi. Kasım 2022 ile Kasım 2024 arasında aktif olan operasyon kapsamında Türkiye, Çin ve Hindistan’daki sistemler hedef alındı; bazı enfeksiyonların bir yılı aşkın süre boyunca devam ettiği tespit edildi. Bu durum, grubun sürekli gelişen taktiklerini ve hedef ağlara uzun vadeli sızma konusundaki kararlılığını gözler önüne seriyor.
Saldırılarda, SohuVA, iQIYI Video, IObit Smart Defrag ve Tencent QQ gibi popüler Windows uygulamalarına ait yazılım güncellemeleri gibi görünen aldatıcı tuzaklar kullanıldı. Sahte güncelleyiciler, güvenilir yazılımlarla uyumlu görünecek şekilde tasarlanarak saldırganların kötü amaçlı faaliyetleri ilk aşamada fark edilmeden başlatmasına olanak tanıdı. Ayrıca saldırganlar, DNS zehirleme tekniği kullanarak bir zararlı yazılım bileşenini kendi sunucularından dağıttı ve bu bileşenin popüler ve meşru bir internet sitesinde barındırılıyormuş izlenimi vermesini sağladı.
Saldırının merkezinde, Evasive Panda tarafından en az 2012’den bu yana siber casusluk amacıyla kullanılan, on yılı aşkın geçmişe sahip modüler bir zararlı yazılım çerçevesi olan MgBot yer alıyor. Tuş kaydı alma, dosya hırsızlığı ve komut çalıştırma gibi işlevler için eklentiler içeren MgBot, 2022–2024 dönemindeki saldırılar kapsamında yeni yapılandırmalarla güncellendi. Bu güncellemeler arasında, saldırıların kesintisiz devam etmesini ve uzun süreli erişimi garanti altına almak amacıyla birden fazla komuta-kontrol (C2) sunucusunun devreye alınması da bulunuyor.
Kaspersky güvenlik uzmanı Fatih Sensoy, konuya ilişkin şu değerlendirmede bulundu:
“Bu kampanya, saldırganların savunma mekanizmalarından kaçınma konusundaki çabalarını ve MgBot gibi kendini kanıtlamış araçları yeniden kullanma stratejilerini açıkça ortaya koyuyor. İki yıl süren bu operasyon, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı yansıtıyor. Özellikle dikkat çeken nokta, implantların sunucu tarafında işletim sistemi ortamına özel olarak uyarlanması; bu da son derece hedefli bir casusluk faaliyetine olanak tanıyor. Kurumların bu tür uzun soluklu kampanyalara karşı, tehdit istihbaratına dayalı proaktif güvenlik önlemleri alması büyük önem taşıyor.”
Kaspersky, kurumları ve bireysel kullanıcıları bu ve benzeri tehditlere karşı dikkatli olmaya çağırıyor. Yürütülen araştırma doğrultusunda Kaspersky’nin önerileri şöyle sıralanıyor:
- Yazılım güncellemeleri sürecinde çok faktörlü kimlik doğrulamanın uygulanması ve güncelleme paketlerinin; beklenmeyen dosya konumlandırmaları veya bilinen zararlı şablonlarla kod benzerlikleri gibi anomalilere karşı uç nokta algılama ve yanıt (EDR) çözümleriyle detaylı biçimde incelenmesi öneriliyor.
- Ortadaki Adam (Adversary-in-the-Middle – AitM) saldırılarına yönelik göstergelerin tespiti için ağ izleme yetkinliklerinin güçlendirilmesi; DNS yanıtları ile ağ trafiğinin, zehirleme veya müdahale belirtileri açısından düzenli olarak denetlenmesi önem taşıyor.
- Kullanıcıların, güvenilir tedarikçilerden geliyormuş gibi görünen sahte güncelleme temalı oltalama (phishing) girişimlerini ayırt edebilmeleri için farkındalık ve eğitim çalışmalarının artırılması gerekiyor.
- Bireysel kullanıcıların ise güvenilir ve kendini kanıtlamış koruma çözümleri kullanarak sistemlerinde proaktif zararlı yazılım taramaları gerçekleştirmesi tavsiye ediliyor.
Kaynak : 