DOLAR 8,552
EURO 10,1383
ALTIN 497,324
BIST 1414,38
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
İstanbul 36°C
Sıcak

Siber casusluk peşindeki gelişmiş tehdit aktörleri elini güçlendiriyor

Siber casusluk peşindeki gelişmiş tehdit aktörleri elini güçlendiriyor
REKLAM ALANI
14.04.2021
58
A+
A-

Çince konuşan tehdit aktörleri genellikle tekniklerini ve metodolojilerini birbirleriyle paylaşma eğiliminde. Bu da Kaspersky araştırmacılarının LuckyMouse, HoneyMyte ve Cycldek gibi tanınmış siber casusluk gruplarıyla ilgili gelişmiş kalıcı tehdit (APT) etkinliklerini avlamasını kolaylaştırıyor. Bu nedenle Vietnam’daki hükümeti ve askeri birimleri hedefleyen en iyi bilinen taktiklerinden biri olan “DLL yan yükleme üçlüsünü” gördükleri an fark ettiler.

DLL, yani dinamik bağlantı kitaplıkları, bilgisayardaki diğer programlar tarafından kullanılmak üzere hazırlanan kod parçalarıdır. DLL yan yükleme tekniğinde yasal olarak imzalanmış bir dosya (Microsoft Outlook’tan olduğu gibi), kötü amaçlı bir DLL’yi yüklemesi için kandırılarak saldırganların güvenlik ürünlerini atlamasına olanak tanır. Yakın zamanda keşfedilen kampanyada DLL yan yüklemeli bulaşma zinciri, son yükün şifresini çözen bir kabuk kodu yürütüyor. Kaspersky’nin FoundCore adını verdiği bu uzaktan erişim Truva Atı, saldırganlara virüslü cihaz üzerinde tam kontrol sağlıyor.

ARA REKLAM ALANI

Ancak daha ilginç olanı, kötü amaçlı kodun analizden korumak için kullandığı yöntem. Final yükleme için nihai kodun başlıkları tamamen kaldırılmıştı ve geride kalan birkaç tanesi tutarsız değerler içeriyordu. Saldırganlar, bunu yaparak araştırmacıların kötü amaçlı yazılımları analiz için ayrıştırmasını önemli ölçüde zorlaştırıyor. Dahası, bulaşma zincirinin bileşenleri birbirine sıkı sıkıya bağlı olduğu için parçaların tek başına analiz edilmesi zor, hatta bazen imkansız. Bu da kötü niyetli faaliyetin tam bir resmini ortaya koymayı engelliyor.

Kaspersky araştırmacıları, bulaşma zincirinin iki ek kötü amaçlı yazılım indirdiğini keşfetti. Bunlardan ilki olan DropPhone, kurban makineden ortam bilgilerini toplayarak DropBox’a gönderiyor. İkincisi de kötü amaçlı yazılımların güvenlik ürünleri tarafından algılanmaktan kaçmasına yardımcı olan kodu çalıştıran CoreLoader.

Söz konusu kampanyadan düzinelerce bilgisayar etkilendi. Bunların %80’i Vietnam’da bulunuyordu. Çoğu hükümete veya askeri sektöre ait olmakla birlikte sağlık, diplomasi, eğitim veya politika da hedef sektörler arasındaydı. Orta Asya ve Tayland’da da bazı hedefler görüldü.

Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, şunları ifade ediyor: “Söz konusu kötü amaçlı yazılımın geçen yıl keşfettiğimiz kötü amaçlı yazılım RedCore ile benzerliklerine dayanarak, bu kampanyayı kesin olmamakla birlikte şimdiye kadar bu bölgede siber casusluk kampanyaları yürüten daha az gelişmiş Çince konuşan bir aktör olarak değerlendirdiğimiz Cycldek’e atfediyoruz. Ancak bu son etkinlik, yeteneklerde büyük bir sıçramaya işaret ediyor.”

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları ekliyor: “Genel olarak geçen yıl Çince konuşan grupların çoğunun kampanyalarına daha fazla kaynak yatırdığını ve teknik yeteneklerini geliştirdiğini fark ettik. Çok daha fazla şaşırtma katmanı ve önemli ölçüde karmaşık tersine mühendislik fonksiyonları eklediler. Bu, grupların faaliyetlerini genişletme arayışında olabileceklerine işaret ediyor. Şu anda bu kampanya daha çok yerel bir tehditmiş gibi görünebilir. Ancak FoundCore arka kapısının gelecekte farklı bölgelerde daha fazla ülkede bulunma olasılığı çok yüksek.”

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şöyle bağlıyor: “Çince konuşan grupların taktiklerini birbirleriyle paylaşma eğiliminde oldukları göz önüne alındığında, aynı gizleme taktikleriyle diğer kampanyalarda da karşılaşırsak şaşırmayacağız. Benzer şüpheli faaliyetler için tehdit ortamını yakından izleyeceğiz. Şirketlerin yapabilecekleri en iyi şey bilgilerini en son tehdit istihbaratıyla güncel tutmaktır. Böylece nelere dikkat etmeleri gerektiğini bilirler.”

Securelist’te Cycldek ile ilgili kampanya hakkında daha fazla bilgi edinebilirsiniz. Dosya karmaları dahil grupla ilgili Uzlaşma Göstergeleri hakkında ayrıntılı bilgilere Kaspersky Tehdit İstihbarat Portalı üzerinden erişebilirsiniz.

Cycldek ile ilgili kötü amaçlı yazılımın gizliliğinin nasıl kaldırıldığını görmek ve GReAT uzmanlarıyla birlikte tersine mühendislik yapmayı öğrenmek için, 8 Nisan’da Hedefli Kötü Amaçlı Yazılım Tersine Mühendislik Çalıştayı’na katılabilirsiniz. Web üzerinden gerçekleştirilecek bu seminer, Kaspersky’nin orta düzey tersine mühendislik eğitimine kısa bir bakış sunuyor.

Kaspersky uzmanları, şirketinizi gelişmiş kalıcı tehdit kampanyalarından korumak için şunları öneriyor:

Anti-APT ve EDR çözümleri kurun. Bunlar tehdit keşfi ve tespitini, yeteneklerinin araştırılmasını ve zamanında düzeltilmesini sağlar. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve onları profesyonel eğitimle düzenli olarak geliştirin. Yukarıdakilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.

REKLAM ALANI
ETİKETLER:
YORUMLAR

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.

Bigunhaber.com Beyaz Haber Ajansı üyesidir.
hacker sitesi hack haber cami halısı ilbet destek kocaeli escort mobil ödeme ile bahis vdcasino giriş vdcasino vdcasino vdcasino betexper gaziantep escort