Kaspersky araştırmacıları, 2020 yılının 3. çeyreğinde tehdit aktörleri tarafından kullanılan genel yaklaşımda bir bölünme gözlemledi. Dünya çapında APT kümelerinin taktiklerinde, tekniklerinde ve prosedürlerinde (TTP’ler) epeyce kıymetsiz bulaşma vektörleri ve araç setlerinin kullanıldığı tesirli kampanyaların yanı sıra birçok gelişmeye de şahit olundu.
Geçtiğimiz çeyreğin en dikkate paha bulgularından biri, rastgele bir çağdaş bilgisayar aygıtının temel bir donanım bileşeni olan UEFI için özel bir önyükleme kiti kullanarak kurbanlardan birine bulaşmaya karar veren, bilinmeyen bir aktör tarafından yürütülen bir kampanyaydı. Bu enfeksiyon, MosaicRegressor isimli çok basamaklı bir bütünün kesimiydi. UEFI üzerinden bulaşması, aygıta yerleştirilen makûs emelli yazılımın son derece kalıcı olmasını sağladı ve kaldırılmasını son derece güç hale getirdi. Bunun da ötesinde, makus hedefli yazılım tarafından her kurbanın aygıtına indirilen yük farklı olabiliyordu. Bu esnek yaklaşım, saldırganın yükünü daha yeterli gizlemesini sağladı.
Öbür oyuncular stenografiden yararlandı. Windows Defender güvenlik tahlili için ayrılmaz ve onaylanmış bir program olan Authenticode imzalı Windows Defender ikili evrakını berbata kullanan yeni bir sistem, Avrupa’da bir telekom şirketine yapılan akında tespit edildi. Ke3chang ile ilişkilendirilen devam eden bir kampanya, Okrum art kapısının yeni bir sürümünü kullandı. Okrum’un bu güncellenmiş sürümü, eşsiz bir yükleme tekniğiyle Authenticode imzalı bir Windows Defender ikili belgesini berbata kullanıyor. Saldırganlar, Defender yürütülebilir belgesindeki ana yükü gizlemek için steganografi kullandı ve dijital imzayı geçerli kılarak tespit bahtını azalttı.
Öteki birçok aktör de kendilerini daha esnek ve algılanmaya daha az eğilimli hale getirmek için araç setlerini güncellemeye devam ediyor. MuddyWater APT kümesi tarafından geliştirilenler üzere çeşitli çok kademeli çerçeveler yırtıcı ortamda görünmeye devam ediyor. Bu eğilim öbür makus gayeli yazılımlar için de geçerli. Örneğin, saldırganın daha fazla yük çeşidi yürütmesini sağlayan yeni bir bilhassa güncellenen Dtrack RAT (uzaktan erişim aracı) üzere.
Bununla birlikte, kimi oyuncular hala düşük teknolojili enfeksiyon zincirlerini muvaffakiyetle kullanıyor. Bir örnek, Kaspersky araştırmacıları tarafından DeathStalker olarak isimlendirilen küme. Bu APT, temel olarak finans bölümünde faaliyet gösteren hukuk firmalarına ve şirketlere odaklanıyor ve mağdurlardan hassas ve bedelli bilgiler topluyor. 2018’den beri çoğunlukla tıpkı olan teknikleri kullanarak tespitten kaçmaya odaklanmak, DeathStalker’ın bir dizi başarılı atak gerçekleştirmeye devam etmesini sağladı.
Kaspersky Global Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Ariel Jungheit, “Bazı tehdit aktörleri vakit içinde dengeli kalırken ve kurbanları makus maksatlı ekleri indirmeye ikna etmek için COVID-19 üzere tanınan bahisleri kullanmaya çalışırken, başka kümeler kendilerini ve araç setlerini yine keşfediyor” diyor. “Saldırıya uğrayan platformların genişleyen kapsamı, yeni bulaşma zincirleri ve taarruz altyapılarının bir kesimi olarak yasal hizmetlerin kullanımı, son çeyrekte şahit olduğumuz şeyler. Genel olarak bunun siber güvenlik uzmanları için manası şudur: Siber güvenlik uzmanlarının geçmişte daha az incelenen, yeni berbat niyetli faaliyetleri avlamak için kaynak ayırması gerekir. Bu, daha az bilinen programlama lisanlarında yazılan ve yasal bulut hizmetleri aracılığıyla yazılan berbat emelli yazılımları içerir. Saldırganların faaliyetlerini ve TTP’leri izlemek, yeni teknikleri ve araçları uyarlarken onları takip etmemize ve böylelikle kendimizi yeni ataklara vaktinde reaksiyon vermeye hazırlamamıza imkan tanıyor.”
