Kaspersky'den "DeathStalker" isimli APT grubu hakkında rapor

İstanbul/Türkiye

Ekonomi 26.08.2020, 12:02 26.08.2020, 12:02
Kaspersky'den

Kaspersky'den "DeathStalker" isimli APT grubu hakkında rapor

- Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski: - "APT gruplarının faaliyetlerini izlerken, DeathStalker bize güvenliğe önem vermediği bilinen kurumların hedef olabileceğini hatırlattı. Son faaliyetlerine bakarak DeathStalker'ın bir tehdit olarak kalmayı sürdüreceğini ve yeni araçlarla kurumları hedef alacağını tahmin ediyoruz"

İSTANBUL (AA) - Kaspersky araştırmacıları, finans sektöründeki küçük ve orta boy işletmelere yönelik etkili casusluk saldırıları düzenleyen DeathStalker isimli "kiralık" gelişmiş kalıcı tehdit (APT) grubu hakkında rapor yayınladı.

Kaspersky açıklamasına göre, fidye yazılımlarından veri sızıntılarına ve ticari casusluğa kadar uzanan siber tehditler şirketlerin çalışmalarına ve itibarına zarar verebiliyor. Bu tür saldırılar orta düzey zararlı yazılım yöneticileri ve bazen de Kaspersky'nin 2018'den beri takip ettiği DeathStalker gibi kiralık gruplar tarafından düzenleniyor.

DeathStalker, hukuk şirketleri ve finans kuruluşlarına yönelik siber casusluk saldırılarına yoğunlaşmasıyla diğer tehdit gruplarından ayrılıyor. Yeniliklere çok hızlı uyum sağlayabilen ve yazılım tasarımında hızla çoğaltmaya yönelik bir yaklaşım sergileyen grup, etkili saldırılar düzenleyebiliyor.

Kaspersky yaptığı araştırmalarla Powersing, Evilnum ve Janicab zararlı yazılım aileleri ile DeathStalker'ın faaliyetleri arasında bir bağlantı kurabildi. Bu da grubun en az 2012'den bu yana ne kadar geniş bir yelpazede faaliyet gösterdiğini ortaya koyuyor. Powersing, 2018den bu yana Kaspersky tarafından izlenirken diğer iki zararlı yazılım ailesi ise diğer siber güvenlik markaları tarafından raporlandı. Bu üç zararlı yazılım ailesinin kodlarındaki ve kurbanlarındaki benzerlik, araştırmacıların bunlar arasında bir ilişki olduğunu düşünmesini sağladı.

Yıllardır aynı taktik, teknik ve prosedürleri kullanan bu tehdit grubu, zararlı dosyalar içeren arşivleri dağıtmak için hedefli kimlik avı e-postalarından yararlanıyor. Kullanıcı kısayola tıkladığında zararlı kod çalışmaya başlıyor ve internet üzerinden ek bileşenler indiriyor. Böylece saldırganlar kurbanın makinesinin kontrolünü ele geçiriyor.

Bu tehdit grubundan tespit edilen ilk zararlı yazılım olan Powersing, Power-Shell tabanlı bir sızma programıydı. Yazılım kurbanın cihazına yüklendikten sonra belirli aralıklarla ekran görüntüsü alıp istediği Powershell kodunu çalıştırabiliyordu. Sızılan cihazdaki güvenlik çözümüne göre alternatif yöntemler kullanarak kendini gizleyen bu zararlı yazılım, tespit edilmekten kaçınabiliyor, her saldırı öncesinde gruba sinyal göndererek tespit testleri yapılmasını sağlıyor ve elde edilen sonuçlara bağlı olarak kodlarını güncelleyebiliyor.

DeathStalker, Powersing yazılımını kullandığı saldırılarda ilk arka kapı iletişimlerini normal ağ trafiğine gizlemek için tanınmış bir servisten yararlanıyordu. Bu da güvenlik çözümlerinin operasyonlarını zorlaştırıyordu. Çeşitli sosyal medya ağları, blog ve mesajlaşma servislerine yerleştirilen ve ek komut ve kontrol altyapısına yönlendiren büyük miktarda veri sayesinde suçlular tespit edilmeden saldırıyı tamamlayabiliyordu. Saldırıya uğrayan kurbanlar başka yerlere erişmek istediklerinde bu veriler tarafından yönlendiriliyordu. Bu da iletişimin gizli kalmasını sağlıyordu.

- "Güvenlik operasyonları ekibinin en son tehdit istihbaratına erişmesini sağlayın"


DeathStalker'ın dünyanın her yerinde faaliyet göstermesi grubun operasyonlarının boyutunu ortaya koyuyor. Powersing kullanılan vakalara Arjantin, Çin, Kıbrıs, İsrail, Lübnan, İsviçre, Tayvan, Türkiye, Birleşik Krallık ve Birleşik Arap Emirlikleri'nde rastlandı. Kaspersky ayrıca Kıbrıs, Hindistan, Lübnan, Rusya ve Birleşik Arap Emirlikleri'nde Evilnum'un hedefi olan kullanıcılar tespit etti.

Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ivan Kwiatkowski, DeathStalker'ın özel sektördeki kurumların kendilerini koruması gereken tehdit gruplarının en önemli örneklerinden biri olduğunu belirterek, şunları kaydetti:

"APT gruplarının faaliyetlerini izlerken, DeathStalker bize güvenliğe önem vermediği bilinen kurumların hedef olabileceğini hatırlattı. Son faaliyetlerine bakarak DeathStalker'ın bir tehdit olarak kalmayı sürdüreceğini ve yeni araçlarla kurumları hedef alacağını tahmin ediyoruz. Bu grup, küçük ve orta boy şirketlerin de güvenliğe ve güvenlik farkındalığı eğitimine yatırım yapması gerektiğini gösteriyor.

DeathStalker'dan korunmak isteyen kurumlara, powershell.exe ve script.exe gibi kodlama dillerini kullanma özelliğini devre dışı bırakmalarını tavsiye ediyoruz. Ayrıca, düzenlenecek farkındalık eğitimleri ve güvenlik ürünü değerlendirmelerinde kısayol dosyalarının kullanıldığı saldırılara da yer verilmesini öneriyoruz."

Kaspersky araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:

"Güvenlik operasyonları ekibinizin en son tehdit istihbaratına erişmesini sağlayın. Kaspersky'nin Integrated Endpoint Security çözümü gibi doğru uç nokta koruma yöntemlerinin kullanılmasını sağlayın. Çoğu hedefli saldırı kimlik avı veya diğer bir sosyal mühendislik yöntemiyle başladığından, Kaspersky Automated Security Awareness Platform gibi bir hizmet üzerinden güvenlik farkındalığı eğitimleri verin ve pratik becerileri öğretin."

Muhabir : Tolga Yanık
Yayınlayan : Cevat Kışlalı

Yorumlar (0)
banner69
19
açık
Namaz Vakti 17 Mayıs 2022
İmsak 03:50
Güneş 05:26
Öğle 12:43
İkindi 16:31
Akşam 19:50
Yatsı 21:20
Puan Durumu
Takımlar O P
1. Trabzonspor 37 81
2. Fenerbahçe 37 70
3. Konyaspor 37 67
4. Başakşehir 37 62
5. Alanyaspor 37 61
6. Beşiktaş 37 58
7. Antalyaspor 37 58
8. Karagümrük 37 57
9. Adana Demirspor 37 52
10. Sivasspor 37 51
11. Galatasaray 37 51
12. Kasımpaşa 37 50
13. Hatayspor 37 50
14. Kayserispor 37 47
15. Giresunspor 37 45
16. Gaziantep FK 37 43
17. Rizespor 37 36
18. Altay 37 34
19. Göztepe 37 28
20. Ö.K Yeni Malatya 37 20
Takımlar O P
1. Ankaragücü 35 67
2. Ümraniye 35 67
3. Bandırmaspor 35 61
4. İstanbulspor 35 59
5. Erzurumspor 35 58
6. Eyüpspor 35 54
7. Manisa Futbol Kulübü 36 49
8. Tuzlaspor 35 49
9. Samsunspor 35 48
10. Gençlerbirliği 35 48
11. Keçiörengücü 35 48
12. Boluspor 35 47
13. Denizlispor 35 46
14. Altınordu 35 45
15. Adanaspor 35 45
16. Bursaspor 35 41
17. Kocaelispor 35 41
18. Menemen Belediyespor 35 38
19. Balıkesirspor 35 12
Takımlar O P
1. M.City 37 90
2. Liverpool 36 86
3. Chelsea 36 70
4. Tottenham 37 68
5. Arsenal 37 66
6. M. United 37 58
7. West Ham United 37 56
8. Wolverhampton Wanderers 37 51
9. Leicester City 36 48
10. Brighton 37 48
11. Brentford 37 46
12. Newcastle 37 46
13. Crystal Palace 36 45
14. Aston Villa 36 44
15. Southampton 36 40
16. Everton 36 36
17. Leeds United 37 35
18. Burnley 36 34
19. Watford 37 23
20. Norwich City 37 22
Takımlar O P
1. Real Madrid 37 85
2. Barcelona 37 73
3. Atletico Madrid 37 68
4. Sevilla 37 67
5. Real Betis 37 64
6. Real Sociedad 37 62
7. Villarreal 37 56
8. Athletic Bilbao 37 55
9. Osasuna 37 47
10. Celta Vigo 37 46
11. Valencia 37 45
12. Rayo Vallecano 37 42
13. Espanyol 37 41
14. Getafe 37 39
15. Elche 37 39
16. Granada 37 37
17. Mallorca 37 36
18. Cadiz 37 36
19. Levante 37 32
20. Deportivo Alaves 37 31