Doğu Avrupa'daki sanayi sektörü şirketleri, gelişmiş implantlar ve yeni kötü amaçlı yazılımlar kullanan bir tehdit aktörü tarafından saldırıya uğradı. Bulut tabanlı veri depolama hizmetleri, verileri dışarı sızdırmak ve ardından kötü amaçlı yazılımları çoğaltmak için kullanılmıştır.
Kaspersky, veri hırsızlığı için kalıcı bir kanal oluşturmayı amaçlayan Doğu Avrupa'daki endüstriyel şirketlere yönelik bir dizi hedefli saldırıyı ortaya çıkardı. Bu saldırılar, ExCone ve DexCone gibi daha önce incelenen saldırılarla önemli benzerlikler taşıyordu; bu, Judgment Panda ve Zirconium olarak da bilinen APT31'in dahil olduğunu gösteriyor.
Saldırılar, uzaktan erişime izin verecek şekilde tasarlanmış gelişmiş implantlar kullandı ve tehdit aktörlerinin güvenlik önlemlerinden kaçma konusundaki kapsamlı bilgi ve deneyimlerini ortaya koydu. Bunlar, son derece güvenli sistemlerden bile veri hırsızlığı için kalıcı kanalların kurulmasına yardımcı oldu
Bulut depolama hizmetleri aracılığıyla veri hırsızlığı
Ek olarak, DLL ele geçirme teknikleri kapsamlı bir şekilde kullanıldı ve kötü amaçlı dinamik olarak bağlı kitaplıkların belleklerine yüklenmesine karşı savunmasız olan meşru üçüncü taraf yürütülebilir dosyaların kötüye kullanılmasına izin verdi. Bu, üç saldırı fazında çoklu implantların uygulanması sırasında tespit edilmesini önlemelidir.
Dropbox ve Yandex Disk gibi bulut depolama hizmetleri ve geçici dosya paylaşım platformları, verileri dışarı sızdırmak ve ardından kötü amaçlı yazılımları dağıtmak için kullanıldı. Ayrıca tehdit aktörleri, güvenliği ihlal edilmiş ağlar üzerinde kontrolü sürdürmek için Yandex Cloud'da ve normal Sanal Özel Sunucularda (VPS) komuta ve kontrol (C2) altyapısını devreye aldı.
FourteenHi kötü amaçlı yazılımının yeni varyantları endüstriyel şirketleri hedefliyor
Saldırılar ayrıca, 2021'de devlet kurumlarını hedef alan ExCone kampanyası sırasında keşfedilen FourteenHi kötü amaçlı yazılımının yeni türevlerini de uyguladı. Bu o zamandan beri gelişti; geçtiğimiz yıl boyunca, özellikle sanayi şirketlerinin altyapısını hedefleyen yeni varyantlar ortaya çıktı. Kaspersky uzmanları ayrıca MeatBall adlı yeni kötü amaçlı yazılım türünü de buldu. Bu, kapsamlı uzaktan erişim özelliklerine sahip bir arka kapı implantıdır.
Kaspersky ICS CERT kıdemli güvenlik araştırmacısı Kirill Kruglov, "Hedefli saldırıların sektöre yönelik risklerini hafife almamalıyız" dedi. “Şirketler süreçlerini dijitalleştirmeye devam ediyor ve ağa bağlı sistemlere bağımlı. Kritik altyapıya yapılan başarılı saldırıların potansiyel sonuçları önemlidir. İncelediğimiz bu APT kampanyası, endüstriyel altyapıları mevcut ve gelecekteki tehditlerden korumak için kapsamlı siber güvenlik önlemlerinin kritik öneminin altını çiziyor.”
Operasyonel teknolojiyi korumaya yönelik Kaspersky önerileri
- Potansiyel siber güvenlik sorunlarını belirlemek ve ortadan kaldırmak için OT sistemlerinin düzenli güvenlik değerlendirmelerini yapın.
- Etkili bir güvenlik açığı yönetim süreci için temel olarak sürekli güvenlik açığı değerlendirmesi ve triyaj oluşturun. Kaspersky Industrial CyberSecurity gibi özel çözümler, tamamen kamuya açık olmayan ve sistemlerin korunmasına yardımcı olabilecek benzersiz, eyleme geçirilebilir istihbarat sağlar.
- OT ağının temel bileşenlerinde zamanında güncellemeler yapın. Teknik olarak mümkün olan en kısa sürede güvenlik düzeltmeleri ve yamaları uygulamak ve karşı önlemleri uygulamak, ciddi bir olayı önlemek için çok önemlidir.
- Olayları zamanında tespit etmek, araştırmak ve düzeltmek için Kaspersky Endpoint Detection and Response gibi bir EDR çözümü kullanın.
- Ekibin olayları önlemesini, tespit etmesini ve bunlara yanıt vermesini sağlamak için BT güvenlik ekipleri ve OT personeli için özel OT güvenlik eğitimi düzenleyin.
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi