ESET Research, Eylül-Aralık 2022 yarıyılına ait APTgelişmiş kalıcı tehdit Faallik Raporu ’nu yayınladı.

ESET tahlilcileri tarafından  hazırlanan rapora göre bu yarıyılda Rusya ile irtibatlı APT grupları, devirici bilgi silici ve fidye yazılımlar kullanarak özellikle Ukrayna ’yı hedef alan harekâtlarda yer almaya devam etti. Çin irtibatlı bir grup olan Goblin Panda, Mustang Panda ’nın Avrupa ülkelerine olan alakasını kopyalamaya başladı. İran irtibatlı gruplar da yüksek seviyede faaliyet gösteriyorlar. Sandworm ile beraber, Callisto, Gamaredon gibi öbür Rus APT grupları, Doğu Avrupa yurttaşlarını  hedef alan kimlik avı hamlelerine devam ettiler. 

ESET APT Faallik Raporu ’nda ön tasarıya çıkan başlıklar şu biçimde sıralanıyor:

ESET,  Ukrayna ’da makûs ünlü Sandworm grubunun bir enerji sektörü firmasına karşı evvelden meçhul bir bilgi silici yazılımı kullandığını tespit etti. APT gruplarının işlemleri genellikle devlet veya devlet takviyeli katılımcılar tarafından hakikatleştiriliyor. Söz mevzusu atak, Ekim ayında Rus silahlı güçlerinin enerji altyapısını hedef alan füze atakları başlatmasıyla aynı yarıyılda asıllaştı. ESET, bu hamleler arasındaki koordinasyonu ispatlayamasa da, Sandworm ve Rus ordusunun aynı emeli taşıdığını öngörüyor.

ESET, daha evvel keşfedilen bir dizi bilgi silici yazılım arasından en yeni olana NikoWiper ismini verdi. Bu yazılım, Ekim 2022 ’de Ukrayna ’da enerji sektöründe faaliyet gösteren bir firmaya karşı kullanılmıştı. NikoWiper, Microsoft ’un dosyaları tehlikesiz bir biçimde silmek için kullandığı bir komut satırı dayanakçı programı olan SDelete  tabanlı. ESET, bilgi silen makûs emelli yazılıma ek olarak, fidye yazılımını silici olarak kullanan Sandworm ataklarını keşfetti. Bu ataklarda fidye yazılımı kullanılsa da hakikat emel bilgilerin tahrip edilmesi. Aşina fidye yazılımı hamlelerinin aksine, Sandworm cerrahları bir parola çözme anahtarı sağlamıyor.

Ekim 2022 ’de Prestige fidye yazılımının Ukrayna ve Polonya ’daki lojistik firmalarına karşı kullanıldığı ESET tarafından tespit edildi. Kasım 2022 ’de Ukrayna ’da RansomBoggs ismi verilen .NET ’te yazılmış yeni bir fidye yazılımı keşfedildi. ESET Research, bu kampanyayı Twitter hesabında kamuoyuna bildirdi. Sandworm ile beraber, Callisto ve Gamaredon gibi öbür Rus APT grupları, kimlik bilgilerini çalmak ve implant yerleştirmek için Ukrayna hedefli kimlik avı hamlelerine devam ettiler.

ESET tahlilcileri ayrıca Japonya ’daki politikleri hedef alan bir MirrorFace hedefli kimlik avı hamlesi tespit etti ve bazı Çin irtibatlı grupların hedefinde düzey farklılığı fark etti – Goblin Panda, Mustang Panda ’nın Avrupa ülkelerine olan alakasını kopyalamaya başladı. Kasım ayında ESET, Avrupa Birliği ’ndeki bir devlet kuruluşunda TurboSlate ismini verdiği yeni bir Goblin Panda arka kapısı keşfetti. Mustang Panda da Avrupa kuruluşlarını hedef almaya devam etti. Eylül ayında, İsviçre ’nin enerji ve mühendislik sektöründeki bir kuruluşta Mustang Panda tarafından kullanılan bir Korplug yükleyici tespit edildi.

İran irtibatlı gruplar da hamlelerine devam etti – POLONIUM, İsrail firmalarının yanı gizeme, bu firmaların yabancı yan kuruluşlarını da hedef almaya başladı ve MuddyWater muhtemelen, faal bir güvenlik hizmeti sağlayıcısının güvenliğine sızdı. 

Kuzey Kore irtibatlı gruplar, dünyanın muhtelif yerlerindeki kripto para firmalarına ve borsalarına sızmak için daha önceki güvenlik sarihlerini kullandı. Enteresan bir biçimde Konni, tuzak dokümanlarında kullandığı dilleri genişleterek, listesine İngilizceyi de ilave etti; bu da her zamanki Rusya ve Güney Kore hedeflerine odaklanmadığı anlamına gelebilir.

Kaynak: adamnedio.com