Son üç aylık APT eğilimleri özeti, Kaspersky’nin özel tehdit istihbaratı araştırmalarının yanı sıra öteki kaynaklardan toplanan bilgileri de içeriyor. Özette araştırmacıların herkesin bilmesi gerektiğine inandığı değerli gelişmeler yer alıyor.
Kaspersky araştırmacılarının 2020’nin birinci yarısında elde ettiği bulgular, APT kümelerinin tüm dünyada gelişim içinde olduğunu gösteriyor. En fazla dikkat çeken değişimler, şu kümeler tarafından uygulandı:
Son birkaç yıldır en çok öne çıkan tehdit kümelerinden biri olan Lazarus kümesi, finansal kazanımlar elde edebilmek için artık çok daha fazla yatırım yapıyor. Siber casusluk ve siber sabotaj üzere gayelerinin yanı sıra bu tehdit aktörü küme, tüm dünya çapında bankalar ve öteki birtakım finans kurumlarını gaye aldı. Kaspersky araştırmacıları bu çeyrekte ayrıyeten Lazarus’un kötücül yazılımlarını yaymak için, siber cürüm ekosisteminde pek görülmeyen bir yol kullandığını; çok platformlu bir arayüz olan ve MATA olarak isimlendirilen kendi fidye yazılımını geliştirip kullandığını da gözlemledi. Lazarus, daha evvel, makûs şöhretiyle hatırlanan WannaCry atağıyla ilişkilendirilmişti.
Gelişmiş PhantomLance taşınabilir hücumlarının ardındaki tehdit aktörü olan OceanLotus, 2019’un ikinci yarısından bu yana çok kademeli yükleyicisinin farklı ve yeni cinslerini kullanıyor. Yeni cinsler, son implantlarının gerçek kurbana yerleştirilmesini sağlamak için gaye bilgisayarlardan evvelce ele geçirilen bilgileri (kullanıcı ismi, ana bilgisayar ismi vb.) kullanıyor. Küme, art kapı implantının yanı sıra Cobalt Strike Beacon’ı da yenileştirilmiş bir altyapı ile kullanmaya devam ediyor.
CactusPete isimli Çinli küme, son periyotta yaygın olarak çeşitli fonksiyonlar için eklentiler içeren, karmaşık ve modüler bir taarruz platformu olan ShadowPad’i kullanıyor. ShadowPad, daha evvel farklı atak hadiselerinde kullanılan farklı bir eklenti alt kümesiyle, bir dizi büyük siber hücumda kullanıldı.
MuddyWater APT kümesi, 2017’de keşfedildi ve o vakitten beri Orta Doğu’da faal olarak varlığını sürdürüyor. 2019 yılında Kaspersky araştırmacıları, Orta Doğu’daki kimi telekomünikasyon şirketleri ve hükümet kurumlarını amacına alan atak faaliyetlerini bildirmişti. Kaspersky kısa mühlet evvel ise MuddyWater’ın, yatay hareket için kullandığı ve Secure Socket Funneling ismi verilen açık kaynaklı bir yardımcı programdan yararlandığı yeni bir akın dalgasında yesyeni bir C ++ programı kullandığını keşfetti.
HoneyMyte APT, bir Güneydoğu Asya ülkesi hükümetinin web sitesine yönelik olarak “Watering hole” saldırısı gerçekleştirdi. Mart ayına gerçekleştirilen bu atak tekniğiyle siber saldırganlar, gayelerinde olan kuruma ziyan verebilmek için beyaz liste (whitelisting) ve toplumsal mühendislik tekniklerinden yararlandı. Burada tehdit aktörleri, kurbanı kolay bir ZIP arşiv evrakı indirerek bir Cobalt Strike yazılımı yürütmeye teşvik eden “readme” belgesi kullandı. Cobalt Strike’ı çalıştırmak için kullanılan sistem, bir Cobalt Strike stager kodunun şifresini çözen ve yürüten DLL yan yüklemesiydi.
Kaspersky Küresel Araştırma ve Tahlil Grubu Baş Güvenlik Araştırmacısı Vincente Diaz, “Tehdit ortamı her vakit ‘çığır açıcı’ hadiselerle dolu değil fakat siber hatalıların faaliyetlerinde son birkaç aydır da azalma mutlaka yaşanmadı. Tehdit aktörlerinin araç setlerinde iyileştirmeler yapmaya, hücum vektörlerini çeşitlendirmeye ve hatta yeni amaç cinslerine geçmeye devam ettiklerini görüyoruz. Örneğin, taşınabilir implantların kullanımı artık yeni bir olgu değil. Gördüğümüz bir başka eğilim ise BlueNoroff ve Lazarus üzere birtakım APT kümelerinin finansal çıkara hakikat ilerliyor olması. Yeniden de jeopolitik, birçok tehdit aktörü için de değerli bir motivasyon kaynağı olmaya devam ediyor. Tüm bu gelişmeler sadece tehdit ortamı istihbaratına yatırım yapılmasının ehemmiyetini vurguluyor. Siber hatalılar esasen muvaffakiyete ulaştıkları vakit durmuyor, daima olarak yeni TTP’ler geliştiriyorlar. Münasebetiyle kendilerini ve kurumlarını akınlara karşı korumak isteyenler de o denli hareket etmek durumunda.” dedi.
