ESET, yeni APT - Gelişmiş Kalıcı Tehdit - Etkinlik Raporu ile bilgisayar korsanı gruplarının etkinliklerine düzenli bir genel bakış sunar ve eylemlerini ayrıntılı olarak inceler. Rusya, Kuzey Kore, İran ve Çin'den gelen gruplar oldukça aktif.
Sandworm, Gamaredon, Turla veya InvisiMole gibi Rusya bağlantılı bilgisayar korsanları, birincil hedefleri olarak Ukrayna'yı almaya devam ediyor. Havacılık ve savunma şirketleri, Kuzey Kore ile bağlantılı aktörler arasında popüler. İranlı gruplar faaliyetlerini İsrail'e odaklıyor. Bir Alman gıda şirketi de Çin bağlantılı bir APT grubunun hedefiydi. Genel olarak, ESET araştırmacıları, çeşitli bilgisayar korsanı grupları arasında etkinlikte herhangi bir düşüş tespit edemedi. Mevcut rapor, Mayıs-Ağustos 2022 dönemini kapsamaktadır.
Endüstri, Sırlar, Şantaj
"Havacılık ve savunma sanayileri, Kuzey Kore ile müttefik gruplar için büyük ilgi görmeye devam ediyor. Örneğin Lazarus, Hollanda'daki bir havacılık ve uzay şirketindeki bir çalışanı hedef aldı. Araştırmamıza göre grup, şirkete sızmak için meşru bir Dell sürücüsündeki bir güvenlik açığından yararlandı. ESET Tehdit Araştırması Direktörü Jan-Ian Boutin, "Bunun, bu güvenlik açığının vahşi doğada kaydedilen ilk istismarı olduğuna inanıyoruz" dedi. "Ayrıca, Rusya ile ittifak halinde olan birkaç grubun, komuta ve kontrol sunucularına erişmek veya hassas bilgileri sızdırmak için Telegram mesajlaşma hizmetini kötüye kullandığını da bulduk. Diğer bölgelerden APT aktörleri de hem siber casusluk hem de fikri mülkiyet hırsızlığı için Ukraynalı kuruluşlara erişim sağlamaya çalıştı," diye devam ediyor Boutin.
Kripto para birimleri: APT grupları için başka bir faaliyet alanı
Kripto para birimleri ile çalışan finansal kurumlar ve şirketler, Kuzey Kore'nin Kimsuky'sinin ve Lazarus Group'un iki kampanyasının hedefi oldu. ESET araştırmacıları tarafından Operation In(ter)ception olarak adlandırılan bu eylemlerden biri, havacılık ve savunma endüstrilerindeki olağan hedeflerinden saptı. Arjantin'den tek bir kişi, Coinbase'de iş teklifi kılığında kötü amaçlı yazılımla saldırıya uğradı. ESET ayrıca Konni grubunun geçmişte Lazarus tarafından kullanılan bir tekniği, yani Sumatra PDF Viewer'ın truva atına dönüştürülmüş bir sürümünü kullandığını keşfetti.
Çinli gruplar genellikle arka kapıları kullanır
Çin merkezli gruplar çok aktif olmaya devam etti. Çeşitli güvenlik açıklarından ve daha önce bildirilmemiş arka kapılardan yararlandılar. ESET, SparklingGoblin tarafından bir Hong Kong üniversitesine karşı kullanılan bir arka kapının Linux varyantını bu şekilde tanımlamıştır. Başka bir vakada, aynı grup Almanya'daki bir gıda işleme şirketine ve Amerika Birleşik Devletleri'ndeki bir mühendislik firmasına saldırmak için Confluence güvenlik açığını kullandı. ESET Araştırması ayrıca bir ABD savunma yüklenicisinin güvenliğinin aşılmasının arkasında bir ManageEngine ADSelfService Plus güvenlik açığı olduğundan şüpheleniyor. Güvenlik açığı yayınlandıktan sadece iki gün sonra sistemleri saldırıya uğradı. Japonya'da ESET, Mirrorface grubunun, biri parlamentonun üst meclisi seçimleriyle doğrudan ilgili olan birkaç kampanyasını belirledi.
İranlı grupların odak noktasında İsrail var
İran'la bağlantılı artan sayıda grup, çabalarını öncelikle çeşitli İsrail endüstrilerine odaklamaya devam etti. ESET araştırmacıları, bir düzine kuruluşu hedef alan bir eylemi POLONIUM'a bağlayabildiler ve daha önce belgelenmemiş birkaç arka kapı belirlediler. Agrius, Güney Afrika, Hong Kong ve İsrail'deki elmas endüstrisine dahil olan veya bununla bağlantılı şirketleri ve kuruluşları hedef aldı.
ESET uzmanları bunun, bu alanda kullanılan İsrail tabanlı yazılımları kötüye kullanan bir tedarik zinciri saldırısı olduğuna inanıyor. İsrail'deki başka bir kampanya, MuddyWater ve APT35 grupları arasında araç kullanımında olası bir çakışma olduğuna dair kanıt buldu. ESET Araştırması, APT-C-50 grubu tarafından yürütülen bir kampanyada Android kötü amaçlı yazılımının yeni bir sürümünü de tespit etti. Kopyacı bir İran web sitesi tarafından dağıtıldı ve sınırlı casusluk yetenekleri vardı.
ESET APT Etkinlik Raporu aracılığıyla
ESET Tehdit Raporu'nu tamamlayıcı nitelikte olan ESET Research, ESET'in Gelişmiş Kalıcı Tehditler (APT) etkinliğine ilişkin öngörülerine düzenli bir genel bakış sunmayı amaçlayan ESET APT Etkinlik Raporunu yayınlar. İlk baskı, Mayıs-Ağustos 2022 dönemini kapsıyor. Raporun, ESET Tehdit Raporu ile birlikte hemen yayınlanması planlanıyor.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.