Siber güvenlik işletmeyi ESET, Ekim 2022 ’den Mart 2023 sonuna kadar ESET tahlilcileri tarafından izlenen, incelenen ve inceleme edilen gelişmiş kalıcı tehdit APT gruplarının aktifliklerini özetleyen APT Faaliyet Raporunu yayımladı.
6 aylık yarıyıllar halinde yayımlanan rapor bu yarıyılda, Ke3chang ve Mustang Panda gibi Çin iletişimli tehdit oyuncuları Avrupa firmalarına odaklandı. İsrail ’de, İran iletişimli grup, OilRig, yeni bir özel arka kapı dağıttı. Kuzey Kore ile iletişimli gruplar, Güney Kore ’deki ve Güney Kore ile alakalı firmalara odaklanmaya devam etti. Rusya ile iletişimli APT grupları özellikle Ukrayna ve AB ülkelerinde faaldi. Sandworm, siliciler yerleştirdi.
ESET APT Faaliyet Raporunda belirtilen makûs emelli faaliyetler, ESET teknolojisi tarafına idrak ediliyor. ESET Tehdit Araştırma İdareyicisi Jean-Ian Boutin bu mevzuda şunları söyledi: “ESET mahsulleri, alıcılarımızın sistemlerini bu raporda belirtilen makûs emelli faaliyetlere karşı gözetiyor. Burada paylaşılan istihbarat çoğunlukla patentli ESET telemetrisini direniyor ve ESET Research tarafından doğrulanmıştır.”
Çin iletişimli Ke3chang, yeni bir Ketrican varyantının dağıtılması gibi usullere müracaat etirken Mustang Panda iki yeni arka kapı kullandı. MirrorFace, Japonyayı hedef aldı ve yeni makûs emelli yazılım dağıtım yaklaşımları uygularken, ChattyGoblin Harekâtı destek temsilcilerini hedef alarak Filipinler ’deki bir kumar firmasını ele geçirdi. Hindistan ’a bağlı gruplar SideWinder ve Donot Team, Güney Asya ’daki hükumet müesseselerini hedef almaya devam ederken, SideWinder Çin ’deki eğitim sektörünü hedef aldı ve Donot Team, makûs şöhrete sahip yty çerçevesini geliştirmeye devam etti ancak aynı zamanda piyasadaki Remcos RAT ’ı da devreye aldı. Ayrıca ESET, Güney Asya ’da çok rakamda Zimbra web postası kimlik avı teşebbüsü tespit etti.
Kuzey Kore iletişimli bir grup olan Lazarus, Boeing içeriğine sahip sahte bir iş önerisiyle Polonya ’daki bir korunma firmasının çalışanlarını hedeflemenin yanı gizeme, Accenture içerikli bir yem kullanarak her zamanki hedeflerinden değişik olarak Hindistan ’daki bir bilgi yönetimi işletmesine odaklandı. Ayrıca ESET, kampanyalarından birinde kullandıkları bir Linux makûs emelli yazılımını da tanımladı. Bu yeni keşfedilen makûs emelli yazılımıyla eşlikler, 3CX tedarik zinciri atağının artta makûs bir şöhrete sahip Kuzey Kore iletişimli grubun olduğu kuramını destekliyor.
Rusya ile iletişimli APT grupları özellikle Ukrayna ve AB ülkelerinde faaldi. Bu gruplar, silici yerleştiren Sandworm ’un SwiftSlicer olarak ESET ’in adlandırdığı yeni bir tane daha yanı gizeme Gamaredon, Sednit ve hedefe müteveccih kimlik avı e-postaları yollayan Dukes kullandı. Bunun bir misaline Dukes ’da olduğu gibi Brute Ratel olarak öğrenilen kırmızı takım implantının uygulanmasında tesadüfüyoruz. Son olarak, ESET daha evvel bahsettiğimiz Zimbra e-posta platformunun özellikle Avrupa ’da etkin bir grup olan Winter Vivern tarafından da suistimal edildiğini tespit etti ve hedefe müteveccih kimlik avı e-postaları ile Orta Asya ülkelerinin hükumet abonelerini hedef alan SturgeonPhisher grubunun faaliyetlerinde ehemmiyetli bir eksilme kaydoldu. Bu tespitten sonra ESET, grubun kendini yenileme gidişatına geçtiğini düşünüyor.
Kaynak: BYZHA Beyaz Haber Ajansı