İSTANBUL (AA) - Kaspersky araştırmacıları, Kazakistan'ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde, Orta Doğu ve Türkiye'de 10 yılı aşkın süredir aktif olan OilRig Gelişmiş Kalıcı Tehdit (APT) grubu tarafından geliştirildiği düşünülen yeni bir kötü amaçlı yazılımın bir dizi saldırı gerçekleştirdiğini duyurdu.
Kaspersky'den yapılan açıklamaya göre, OilRig APT, genellikle sosyal mühendislik taktiklerini kullanarak kurbanlarının yazılım ve teknik konulardaki açıklarından faydalanıyor. Bununla birlikte Kaspersky uzmanları, grubun araç setini güncellediğini ve üçüncü parti bilişim teknolojileri (BT) şirketleri aracılığıyla hedeflerine sızmak için ısrarcı ve daha gizli yollara başvurduğunu fark etti.
Kaspersky uzmanları, 2022'nin sonlarında başlayan ve devam eden bir araştırma sırasında APT grubunun bölgedeki BT şirketlerinin terminal sunucularına erişmek için PowerShell komut dosyaları çalıştırdığını ve hedefleri hakkında kimlik bilgileri ve hassas veriler topladığını keşfetti.
Grup, çalınan bilgileri hedeflerine sızmak, Komuta ve Kontrol (C2) iletişimleri gerçekleştirmek ve veri sızdırmak amacıyla Microsoft Exchange Web Hizmetlerine dayanan kötü amaçlı yazılım örneklerini dağıtmak için kullandı. İncelenen kötü amaçlı yazılımın, söz konusu tehdit aktörü tarafından kullanılan eski bir kötü amaçlı yazılımın varyantı olduğu görüldü. Grup, sürekli ve gizli erişim sağlamak için yerel etki alanı parola değişikliklerinin engellenmesini sağlayan yeni bir DLL tabanlı parola filtresi kullandı. Bu sayede saldırganlar, hedeflerin e-posta hizmetleri üzerinden saldırganların kontrolündeki Protonmail ve Gmail adreslerine gönderilen mesajlar aracılığıyla hassas verilerle birlikte güncellenmiş şifreleri de çalmayı başardı.
- "Araştırmalarımız, üçüncü parti saldırılarının diğer taktiklere kıyasla ciddi risk oluşturduğunu ortaya koyuyor"
Açıklamada görüşlerine yer verilen Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout, şunları kaydetti:
"CSW23 etkinliğinde duyurduğumuz gibi OilRig, üçüncü parti bilişim şirketlerini istismar etmek için kullandığı karmaşık ve büyük ölçüde değiştirilmiş taktik, teknik ve prosedürlerle 'gizli mod' kavramını bir üst seviyeye taşıdı. Araştırmalarımız, üçüncü parti saldırılarının diğer taktiklere kıyasla daha gizli, çevik ve tespit edilmeden kaldığını ve bu bölgedeki devlet kurumlarının işleyişi için ciddi risk oluşturduğunu ortaya koyuyor. Tedarik zincirinin bir parçası olan BT şirketlerine sızmaya yönelik bu radikal değişim, bölgesel devlet kurumlarının siber güvenlik oyunlarını hızlandırdığının ve APT gruplarını kalıpların dışında düşünmeye ittiğinin bir göstergesi niteliğinde."
Kaspersky araştırmacıları, devletlere ve işletmelere kendilerini üçüncü taraf tedarik zinciri saldırılarının kurbanı olmaktan korumaları için şu önerilerde bulundu:
"Kurumunuzun sınırlarının ötesindeki veri ve varlıklarını da koruyan bütünsel, iyi entegre edilmiş bir siber güvenlik yaklaşımına yatırım yapın. Tehdit istihbaratından yararlanmak çok önemlidir. Kaspersky Threat Intelligence Portal gibi çözümleri kullanmak, BT ekiplerinizi gerçek zamanlı veriler ve içgörülerle donatabilir ve güçlü bir savunma oluşturmak için zengin bir uzmanlık kaynağına erişim sağlayabilir. Kurumunuz içinde bir sızma testi yapın ve üçüncü parti hizmet sağlayıcılarınızı bunun dışında bırakmayın.
Siber savunmanız ancak ilk savunma hattı olarak kabul edilen çalışanlarınız kadar güçlüdür. Her büyüklükteki şirket için siber farkındalık eğitimini otomatikleştiren Kaspersky Automated Security Awareness Platform gibi çözümlerle onları doğru bilgilerle donatın. Verilerinizi düzenli olarak yedekleyin ve zaman zaman bütünlüğünü kontrol edin."
