Avrupalı BT güvenlik üreticisi ESET, güncel "APT Etkinlik Raporu T3 2022"yi yayınladı. Odak noktası: Çinli hacker grupları Avrupa'da aktif ve Rus hacker grupları Ukrayna'yı hedef almaya devam ediyor.
Seçilen Gelişmiş Kalıcı Tehdit (APT) gruplarına ilişkin araştırma bulguları bu raporlarda düzenli olarak özetlenir. Eylül-Aralık 2022 dönemini kapsayan son sayıda ESET uzmanları, çeşitli küresel bilgisayar korsanlığı kampanyalarına ilişkin en son içgörülerini sunuyor. Çin ile müttefik olan gruplar faaliyetlerini Avrupa ülkelerine kaydırdı. Sandworm, Callisto ve Gamaredon gibi Rus bilgisayar korsanları Ukrayna'yı hedef almaya devam ediyor. Ayrıca İran ve Kuzey Kore bağlantılı gruplar da geniş çapta faaliyetlerini sürdürüyor.
Çinli tehdit aktörleri Avrupa'yı güvensiz hale getiriyor
“Avrupa ülkeleri Çinli APT grupları için giderek daha fazla ilgi çekici hale geliyor. ESET Tehdit Araştırması Direktörü Jan-Ian Boutin, geleneksel olarak, Goblin Panda ve Mustang Panda gibi Çin bağlantılı hacker grupları daha çok Güneydoğu Asya'ya odaklanma eğilimindeydi. "Fakat geçen Kasım ayında ESET araştırmacıları, Avrupa Birliği'ndeki bir devlet kuruluşunda TurboSlate adlı yeni bir arka kapı buldu. Kötü amaçlı yazılımın izi, APT grubu Mustang Panda'nın operasyonlarını kopyalıyor gibi görünen Goblin Panda'ya kadar izlendi. İkincisi, 2022'nin başında kendileri için Avrupa destinasyonlarını keşfetti. “Siber casusluk grubu, devlet kurumlarını, şirketleri ve araştırma enstitülerini hedef almasıyla biliniyor. Geçen Eylül ayında ESET uzmanları, İsviçre enerji ve teknoloji sektöründeki bir şirkette bilgisayar korsanları tarafından kullanılan bir Korplug yükleyici keşfetti” diye devam etti Boutin.
Ukrayna'da siber savaş devam ediyor
Kötü şöhretli Sandworm grubu da çok aktif ve Ukrayna'ya karşı operasyonlarını sürdürüyor. ESET araştırmacıları, Ekim 2022'de Doğu Avrupa ülkesinde bir enerji sektörü şirketine karşı kullanılan, daha önce bilinmeyen bir siliciye rastladı. Açıklanan saldırı, Rus kuvvetlerinin enerji altyapısına füze saldırıları başlatmaya başladığı sırada gerçekleşti. ESET, bu olayların koordineli olduğunu kanıtlayamasa da, bu Sandworm ve Rus ordusunun benzer hedefleri paylaştığını gösteriyor.
ESET, daha önce keşfedilen bir dizi siliciden gelen en son siliciye NikoWiper adını verdi. Kötü amaçlı yazılım, dosyaları güvenli bir şekilde silmek için kullanılan bir Microsoft komut satırı aracı olan SDelete'ye dayanmaktadır. ESET araştırmacıları, veri silen kötü amaçlı yazılıma ek olarak, fidye yazılımını silecek olarak kullanan Sandworm saldırılarını da keşfetti. Şifreleme yazılımı, silici ile aynı amaca sahipti, tamamen verileri yok etmekle ilgiliydi. Bu, esas olarak bir şifre çözme anahtarının sağlanmasının hiçbir zaman planlanmamış olması gerçeğiyle gösterilir.
Kum Solucanı, Callisto, Gamaredon
Sandworm'a ek olarak, Callisto ve Gamaredon gibi diğer Rus APT grupları, kimlik bilgilerini çalmak ve kötü amaçlı yazılım yüklemek için Ukrayna'ya yönelik hedefli kimlik avı kampanyalarına devam etti. Ekim 2022'de ESET, Ukrayna ve Polonya'daki lojistik şirketlerine karşı kullanılan Prestige fidye yazılımını tespit etti. Bir ay sonra, Ukrayna'daki ESET araştırmacıları, RansomBoggs adını verdikleri, .NET'te yazılmış yeni bir şifreleme yazılımı buldular. ESET Research, bu kampanyayla ilgili araştırmasının sonuçlarını aynı isimli Twitter hesabında yayınladı.
İran ve Kuzey Kore büyük ölçekte operasyonlarına devam ediyor
İran ile müttefik gruplar da saldırılarına devam ediyor - İsrail şirketlerinin yanı sıra POLONIUM, İsrail şirketlerinin yabancı yan kuruluşlarını da hedef aldı. İranlı APT grubu MuddyWater'ın da yönetilen bir güvenlik hizmeti sağlayıcısını tehlikeye attığından şüpheleniliyor.
Kuzey Kore'ye bağlı bilgisayar korsanlığı grubu Konni, dünyanın farklı yerlerindeki kripto para şirketlerini ve borsaları tehlikeye atmak için eski güvenlik açıklarını kullandı. ESET araştırmacıları, tehdit aktörlerinin aldatma belgelerinde kullandığı dil repertuarına İngilizce'yi de eklediğini keşfetti. Bu, artık hareket alanlarını yalnızca olağan Rus ve Güney Kore hedefleriyle sınırlamadıklarını gösteriyor.
APT Faaliyet Raporunun Arka Planı
ESET Tehdit Raporu'na ek olarak ESET Research, Gelişmiş Kalıcı Tehditler (APT) etkinlikleriyle ilgili araştırma bulgularına düzenli bir genel bakış sağlayan ESET APT Etkinlik Raporunu yayınlar. İlk baskı, Mayıs-Ağustos 2022 dönemini kapsıyor. Gelecekte APT Raporu, ESET Tehdit Raporu ile birlikte yayınlanacak.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.