Kaspersky’nin Küresel Araştırma ve Analiz Ekibi (GReAT), Asya, Afrika ve Latin Amerika’daki kamu kurumlarını, finansal kuruluşları ve endüstriyel organizasyonları hedef alan aktif bir siber casusluk operasyonunu ortaya çıkardı. PassiveNeuron olarak adlandırılan bu kampanyanın Aralık 2024’ten itibaren sürdüğü ve Ağustos 2025’e kadar devam ettiği tespit edildi.
Yaklaşık altı aylık bir duraklamanın ardından yeniden faaliyet göstermeye başlayan PassiveNeuron, hedef ağlara sızmak ve kalıcı erişim sağlamak için üç ana araç kullanıyor. Bunlardan ikisi daha önce bilinmeyen yazılımlar. Kampanyada kullanılan araçlar şunlar: modüler bir arka kapı yazılımı olan Neursite, .NET tabanlı bir implant olan NeuralExecutor ve tehdit aktörleri tarafından sıkça istismar edilen sızma testi aracı Cobalt Strike.
Kaspersky GReAT güvenlik araştırmacısı Georgy Kucherin, konuyla ilgili olarak şunları söyledi:
“PassiveNeuron, organizasyonların bilişim altyapısının bel kemiği sayılan sunucuları hedef almasıyla öne çıkıyor. İnternete açık sunucular, gelişmiş kalıcı tehdit (APT) grupları için son derece cazip hedeflerdir; çünkü tek bir sistemin ele geçirilmesi bile kritik sistemlere erişim sağlayabilir. Bu nedenle, bu tür sunucularla ilişkili saldırı yüzeyinin en aza indirilmesi ve olası enfeksiyonların tespiti için sunucu uygulamalarının sürekli izlenmesi büyük önem taşır.”
Neursite arka kapısı, sistem bilgilerini toplayabiliyor, çalışan süreçleri yönetebiliyor ve ele geçirilen ana makineler üzerinden ağ trafiğini yönlendirerek ağ içinde yatay hareket etmeye olanak tanıyor. Örneklerde, bu aracın hem dış komuta-kontrol (C2) sunucularıyla hem de ele geçirilmiş dahili sistemlerle iletişim kurduğu gözlemlendi.
NeuralExecutor ise ek zararlı yükler dağıtmak için tasarlanmış bir implant. Birden fazla iletişim yöntemini destekleyen bu yazılım, komuta-kontrol sunucusundan aldığı .NET bileşenlerini belleğe yükleyip çalıştırabiliyor.
GReAT tarafından analiz edilen örneklerde, işlev adlarının kasıtlı olarak Kiril karakterleriyle değiştirilmiş olduğu görüldü. Araştırmacılar, bu tür kalıntıların yanlış yönlendirme amacı taşıyan “sahte bayrak” unsurları olabileceğini değerlendiriyor. Kaspersky, tespit edilen taktik, teknik ve prosedürlere (TTP) dayanarak, kampanyanın Çince konuşan bir tehdit aktörüyle düşük güven düzeyinde ilişkili olabileceğini belirtiyor. Kaspersky araştırmacıları, 2024’ün başlarında da PassiveNeuron aktivitesine rastlamış ve bu kampanyayı yüksek düzeyde sofistikasyona sahip olarak tanımlamıştı.
Kaspersky araştırmacıları, bilinen ya da bilinmeyen tehdit aktörlerinin hedefli saldırılarından korunmak için şu önlemlerin uygulanmasını öneriyor:
• Güvenlik operasyon merkezi (SOC) ekibinizi en güncel tehdit istihbaratına erişimle güçlendirin. Kaspersky Threat Intelligence Portal, şirketin 20 yılı aşkın süredir topladığı siber saldırı verilerini ve içgörülerini tek noktadan sunar.
• Siber güvenlik ekibinizi hedefli saldırılarla mücadele edebilecek düzeyde geliştirin. GReAT uzmanlarının hazırladığı Kaspersky online training, bu alandaki yetkinliği artırmak için özel olarak tasarlanmıştır.
• Uç nokta düzeyinde tespit, inceleme ve olay müdahalesi için Kaspersky Endpoint Detection and Response (EDR) çözümünü devreye alın.
• Temel uç nokta korumasının yanı sıra, ağ seviyesinde gelişmiş tehditleri erken evrede tespit eden kurumsal güvenlik çözümlerine yatırım yapın; örneğin Kaspersky Anti Targeted Attack Platform.
• Çoğu hedefli saldırı oltalama (phishing) veya sosyal mühendislik teknikleriyle başladığından, çalışanlarınıza güvenlik farkındalığı eğitimi verin.Kaspersky Automated Security Awareness Platform, bu becerilerin pratik şekilde kazandırılmasını sağlar.
Kaynak : 