Kaspersky uzmanları, OilRig APT ’nin Orta Doğu ve Türkiye ’de artan BT tedarik zinciri hamlelerine karşı uyardı!
Kaspersky analistleri, geçtiğimiz günlerde Kazakistan ’ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Güvenlik Hafta Sonu 2023 CSW23 aktifliğinde, Orta Doğu ve Türkiye ’de on seneyi aşkın vakittir faal olan OilRig Gelişmiş Kalıcı Tehdit APT grubu tarafından geliştirildiği düşünülen yeni bir makûs emelli yazılımın bir dizi hamle hakikatleştirdiğini duyurdu. Grup, Orta Doğu, Türkiye ve Afrika ’daki yüksek profilli devlet müesseselerini siber ajanlık emeliyle hedef almasıyla tanınıyor.
OilRig APT, genellikle sosyal mühendislik stratejilerini kullanarak kurbanlarının yazılım ve teknik mevzulardaki açıklarından yararlanıyor. Bununla beraber Kaspersky uzmanları, grubun taşıt setini aktüellediğini ve üçüncü parti BT işletmeleri aracılığıyla hedeflerine sızmak için ısrarcı ve daha saklı yollara müracaat ettiğini fark etti.
Kaspersky uzmanları, 2022 ’nin sonlarında başlayan ve devam eden bir araştırma sırasında APT grubunun bölgedeki BT firmalarının terminal sunucularına ulaşmak için PowerShell komut dosyaları çalıştırdığını ve hedefleri hakkında kimlik bilgileri ve alıngan bilgiler topladığını keşfetti. Grup çalınan bilgileri hedeflerine sızmak, Komuta ve Hakimiyet C2 irtibatları reelleştirmek ve bilgi sızdırmak emeliyle Microsoft Exchange Web Hizmetlerine katlanan makûs emelli yazılım misallerini dağıtmak için kullandı. Araştırılan makûs emelli yazılımın, söz mevzusu tehdit oyuncuyu tarafından kullanılan daha önceki bir makûs emelli yazılımın varyantı olduğu görüldü.
Grup, aralıksız ve saklı ulaşım sağlamak için yerel tesir alanı şifre farklılıklarının yasaklanmasını sağlayan yeni bir DLL tabanlı şifre filtresi kullandı. Bu sayede saldırganlar, hedeflerin e-posta hizmetleri üzerinden saldırganların hakimiyetindeki Protonmail ve Gmail adreslerine sevk edilen iletiler aracılığıyla alıngan bilgilerle beraber aktüellenmiş parolaları da çalmayı muvaffak oldu.
Kaspersky Kıdemli Güvenlik Analisti Maher Yamout, şunları söyledi: ” Siber Güvenlik Hafta Sonu 2023 CSW23 aktifliğinde duyurduğumuz gibi OilRig, üçüncü parti bilişim işletmelerini istismar etmek için kullandığı karışık ve büyük miktarda değiştirilmiş strateji, teknik ve prosedürlerle ‘saklı mod ’ kavramını bir üst seviyeye taşıdı. Araştırmalarımız, üçüncü parti hamlelerinin değişik stratejilere mukayeseyle daha saklı, çevik ve tespit edilmeden kaldığını ve bu bölgedeki devlet müesseselerinin işleyişi için ciddi tehlike oluşturduğunu ortaya koyuyor. Tedarik zincirinin bir parçası olan BT firmalarına sızmaya müteveccih bu radikal başkalaşım, bölgesel devlet müesseselerinin siber güvenlik oyunlarını süratlendirdiğinin ve APT gruplarını kalıpların dışında düşünmeye ittiğinin bir göstergesi kalitesinde.”
Kaspersky analistleri, devletlere ve firmalara alttaki ipuçlarını takip etmelerini ve kendilerini üçüncü taraf tedarik zinciri hamlelerinin kurbanı olmaktan gözetmelerini öneriyor:
Müessesenizin hudutlarının ötesindeki bilgi ve varlıklarını da gözeten tamsal, iyi entegre edilmiş bir siber güvenlik yaklaşımına yatırım yapın. Tehdit İstihbaratından faydalanmak çok ehemmiyetlidir. Kaspersky Threat Intelligence Portal gibi çözümleri kullanmak, BT takımlarınızı hakikat zamanlı bilgiler ve içgörülerle donatabilir ve güçlü bir korunma oluşturmak için zengin bir uzmanlık kaynağına ulaşım sağlayabilir. Müesseseniz içinde bir sızma testi yapın ve üçüncü parti hizmet sağlayıcılarınızı bunun dışında vazgeçmeyin. Siber korunmanız, ancak ilk korunma hattı olarak kabul edilen çalışanlarınız kadar güçlüdür. Her büyüklükteki firma için siber farkındalık eğitimini otomatikleştiren Kaspersky Automated Security Awareness Platform gibi çözümlerle onları doğru bilgilerle donatın Bilgilerinizi kumpaslı olarak yedekleyin ve zaman zaman tamlığını hakimiyet edin.
Kaynak: BYZHA Beyaz Haber Ajansı