Kaspersky uzmanları, OilRig APT’nin Orta Doğu ve Türkiye’de artan BT tedarik zinciri taarruzlarına karşı uyardı!
Kaspersky araştırmacıları, geçtiğimiz günlerde Kazakistan’ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde, Orta Doğu ve Türkiye’de on yılı aşkın müddettir etkin olan OilRig Gelişmiş Kalıcı Tehdit (APT) kümesi tarafından geliştirildiği düşünülen yeni bir makus gayeli yazılımın bir dizi atak gerçekleştirdiğini duyurdu. Küme, Orta Doğu, Türkiye ve Afrika’daki yüksek profilli devlet kurumlarını siber casusluk hedefiyle maksat almasıyla tanınıyor.
OilRig APT, genellikle toplumsal mühendislik taktiklerini kullanarak kurbanlarının yazılım ve teknik bahislerdeki açıklarından faydalanıyor. Bununla birlikte Kaspersky uzmanları, kümenin araç setini güncellediğini ve üçüncü parti BT şirketleri aracılığıyla gayelerine sızmak için ısrarcı ve daha zımnî yollara başvurduğunu fark etti.
Kaspersky uzmanları, 2022’nin sonlarında başlayan ve devam eden bir araştırma sırasında APT kümesinin bölgedeki BT şirketlerinin terminal sunucularına erişmek için PowerShell komut evrakları çalıştırdığını ve maksatları hakkında kimlik bilgileri ve hassas datalar topladığını keşfetti. Küme çalınan bilgileri maksatlarına sızmak, Komuta ve Denetim (C2) bağlantıları gerçekleştirmek ve data sızdırmak gayesiyle Microsoft Exchange Web Hizmetlerine dayanan berbat gayeli yazılım örneklerini dağıtmak için kullandı. İncelenen makus hedefli yazılımın, kelam konusu tehdit aktörü tarafından kullanılan eski bir makus emelli yazılımın varyantı olduğu görüldü.
Grup, daima ve bâtın erişim sağlamak için lokal tesir alanı parola değişikliklerinin engellenmesini sağlayan yeni bir DLL tabanlı parola filtresi kullandı. Bu sayede saldırganlar, amaçların e-posta hizmetleri üzerinden saldırganların denetimindeki Protonmail ve Gmail adreslerine gönderilen bildiriler aracılığıyla hassas bilgilerle birlikte güncellenmiş şifreleri de çalmayı başardı.
Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout, şunları söyledi: ” Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde duyurduğumuz üzere OilRig, üçüncü parti bilişim şirketlerini istismar etmek için kullandığı karmaşık ve büyük ölçüde değiştirilmiş taktik, teknik ve prosedürlerle ‘gizli mod’ kavramını bir üst düzeye taşıdı. Araştırmalarımız, üçüncü parti ataklarının öbür taktiklere kıyasla daha kapalı, çevik ve tespit edilmeden kaldığını ve bu bölgedeki devlet kurumlarının işleyişi için önemli risk oluşturduğunu ortaya koyuyor. Tedarik zincirinin bir modülü olan BT şirketlerine sızmaya yönelik bu radikal değişim, bölgesel devlet kurumlarının siber güvenlik oyunlarını hızlandırdığının ve APT kümelerini kalıpların dışında düşünmeye ittiğinin bir göstergesi niteliğinde.”
Kaspersky araştırmacıları, devletlere ve işletmelere aşağıdaki ipuçlarını takip etmelerini ve kendilerini üçüncü taraf tedarik zinciri akınlarının kurbanı olmaktan muhafazalarını öneriyor:
- Kurumunuzun hudutlarının ötesindeki bilgi ve varlıklarını da koruyan bütünsel, uygun entegre edilmiş bir siber güvenlik yaklaşımına yatırım yapın.
- Tehdit İstihbaratından yararlanmak çok değerlidir. Kaspersky Threat Intelligence Portal gibi tahlilleri kullanmak, BT takımlarınızı gerçek vakitli datalar ve içgörülerle donatabilir ve güçlü bir savunma oluşturmak için varlıklı bir uzmanlık kaynağına erişim sağlayabilir.
- Kurumunuz içinde bir sızma testi yapın ve üçüncü parti hizmet sağlayıcılarınızı bunun dışında bırakmayın.
- Siber savunmanız, lakin birinci savunma sınırı olarak kabul edilen çalışanlarınız kadar güçlüdür. Her büyüklükteki şirket için siber farkındalık eğitimini otomatikleştiren Kaspersky Automated Security Awareness Platform gibi tahlillerle onları yanlışsız bilgilerle donatın
- Verilerinizi tertipli olarak yedekleyin ve vakit zaman bütünlüğünü denetim edin.
Kaynak: (BYZHA) Beyaz Haber Ajansı
