Kaspersky, APT41 casusluk akınında Güney Afrika’daki bir kuruluşun maksat alındığını bildirdi

Kaspersky Managed Detection and Response uzmanları, Güney Afrikalı bir kuruluşa yönelik bir siber casusluk saldırısını gözlemliyor ve bunu Çince konuşan APT41 kümesiyle ilişkilendiriyor. Tehdit aktörü Güney Afrika’da sonlu faaliyet gösteriyor olsa da, bu olay saldırganların bölgedeki ülkelerden birindeki kamu BT hizmetlerini gaye aldığını ve kimlik bilgileri, dahili dokümanlar, kaynak kodu ile irtibat dahil olmak üzere hassas kurumsal bilgileri çalmaya çalıştığını ortaya koyuyor.

APT (Gelişmiş Kalıcı Tehdit), birçok siber cürüm faaliyetini oluşturan olayların bilakis, belli kuruluşlara karşı özel tasarlanmış, kapalı ve devam eden ataklar gerçekleştirmesiyle bilinen bir tehdit kategorisi olarak isimlendiriliyor. Güney Afrika’daki akın sırasında gözlemlenen taarruz teknikleri, Kaspersky’nin saldırıyı yüksek ihtimalle Çince konuşan APT41 kümesine atfetmesini sağlıyor. Hücumun birincil amacı, bu tehdit aktörü için alışıldık bir gaye olan siber casusluk. Saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas dataları toplamaya çalışıyor. APT41’in Güney Afrika bölgesinde epeyce hudutlu faaliyet göstermesi dikkat cazibeli. APT41 siber casusluk konusunda uzmanlaşmış bir küme ve telekomünikasyon sağlayıcıları, eğitim ve sıhhat kurumları, BT, güç ve öbür bölümler de dahil olmak üzere çeşitli bölümlerdeki kuruluşları maksat alıyor. Kümenin en az 42 ülkede faaliyet gösterdiği biliniyor.

Kaspersky uzmanlarının tahliline nazaran, saldırganlar internete açık bir web sunucusu aracılığıyla kurumun ağına erişim sağlamış olabilirler. Saldırganlar, profesyonel tabirde kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama tekniği kullanarak biri tüm iş istasyonlarında mahallî yönetici haklarına sahip, oburu tesir alanı yöneticisi ayrıcalıklarına sahip bir yedekleme tahliline ilişkin olmak üzere iki farklı kurumsal tesir alanı hesabını ele geçirdi. Bu hesaplar saldırganların kurum içindeki başka sistemleri de ele geçirmesine imkan sağladı.

Veri toplamak için kullanılan hırsızlardan biri, bilgileri dışa aktarmak ve şifresini çözmek için değiştirilmiş bir Pillager yardımcı programıydı. Saldırganlar kodu çalıştırılabilir bir belgeden Dinamik Temas Kitaplığına (DLL) derlediler. Bununla tarayıcılardan, veritabanlarından ve idare araçlarından kaydedilmiş kimlik bilgilerinin yanı sıra proje kaynak kodu, ekran imajları, faal sohbet oturumları ve dataları, e-posta yazışmaları, yüklü yazılım listeleri, işletim sistemi kimlik bilgileri, Wi-Fi kimlik bilgileri ve başka bilgileri toplamayı amaçladılar.

Saldırı sırasında kullanılan ikinci hırsızlık aracı Checkout oldu. Bu araç kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen belgeler ve tarayıcıda depolanan kredi kartı bilgileri hakkında da bilgi toplayabiliyordu. Saldırganlar ayrıyeten RawCopy yardımcı programını ve Mimikatz’ın Dinamik İlişki Kitaplığı (DLL) olarak derlenmiş bir sürümünü kayıt belgelerini ve kimlik bilgilerini dökmek, ayrıyeten ele geçirilen ana bilgisayarlarda Komuta ve Denetim (C2) bağlantısı için Cobalt Strike’ı kullandılar.

Kaspersky Managed Detection and Response Başkan SOC Analisti Denis Kulik, şunları söyledi: “İlginç bir halde, saldırganlar Cobalt Strike’ın yanı sıra C2 bağlantı kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiler. Bu sunucuyla bir web kabuğuna bağlı özel C2 aracıları kullanarak irtibat kurdular. SharePoint’i altyapıda zati mevcut olan ve kuşku uyandırması beklenen olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıyeten bu durum, muhtemelen legal bir bağlantı kanalı aracılığıyla data sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları denetim etmek için en uygun yolu sundu. Genel olarak kapsamlı uzmanlık ve tüm altyapının daima izlenmesi olmadan bu çeşit sofistike taarruzlara karşı savunma yapmak mümkün değildir. Berbat niyetli faaliyetleri erken bir kademede otomatik olarak engelleyebilen tahlillerle tüm sistemlerde tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına çok ayrıcalıklar vermekten kaçınmak çok değerlidir,”

Benzer atakları azaltmak yahut önlemek için Kaspersky kuruluşların aşağıdaki en güzel uygulamaları takip etmeleri tavsiye ediyor:

• Olayların vaktinde tespit edilmesini sağlamak ve muhtemel hasarı en aza indirmek için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında konuşlandırıldığından emin olun.
• Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve denetim edin. Bilhassa altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için çok hak atamalarından kaçının.
• Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve bölümdeki kuruluşlar için gerçek vakitli muhafaza, tehdit görünürlüğü, araştırma ve EDR ve XDR’nin karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın. Mevcut gereksinimlerinize ve kaynaklarınıza bağlı olarak, en uygun eser katmanını seçebilir ve siber güvenlik ihtiyaçlarınız değişirse kolaylıkla öbür bir esere geçebilirsiniz.
• Tehdit tanımlamadan daima muhafaza ve düzeltmeye kadar tüm olay idaresi döngüsünü kapsayan, Kaspersky’nin Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin.  Bunlar siber akınlara karşı korunmaya, olayları araştırmaya ve şirkette siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar.
• InfoSec profesyonellerinize kurumunuzu maksat alan siber tehditler hakkında derinlemesine bir görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, tüm olay idaresi döngüsü boyunca güçlü ve manalı bir bağlam sağlar ve siber riskleri vaktinde tespit etmelerine yardımcı olur.

Olayın detaylı analizini Securelist’te bulabilirsiniz.

Kaspersky Managed Detection and Response hizmeti, kuşkulu aktiflikleri izler ve kurumların atağın tesirini en aza indirmek için süratli bir halde karşılık vermesine yardımcı olur. Bu hizmet, Fortune Küresel 500 kuruluşları için olay müdahalesi, yönetilen tespit, SOC danışmanlığı, kırmızı grup, sızma testi, uygulama güvenliği ve dijital risklerin korunması üzere her yıl yüzlerce bilgi güvenliği projesi sunan bir takım olan Kaspersky Security Services‘in bir parçasıdır.

Kaynak: (BYZHA) Beyaz Haber Ajansı