Casuslar endüstriyel holdinglere karşı yeni araç seti kullanıyor

- Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Denis Legezo:- "MontysThree endüstriyel holdingleri hedefleyen, karmaşık ve amatör TTP'lerin birleşiminden doğmuş ilginç bir araç"- "MontysThree araç setini geliştirmek için önemli bir çaba sarf ettikleri ve amaçlarını gerçekleştirmekte kararlı oldukları, bunun kısa ömürlü bir kampanya olmadığı açık"

Genel 09.10.2020, 11:59
Casuslar endüstriyel holdinglere karşı yeni araç seti kullanıyor

İSTANBUL (AA) - Kaspersky araştırmacıları, "gelişmiş kalıcı tehdit" (APT) aktörleri dünyasında diplomatlara ve diğer yüksek profilli siyasi aktörlere yönelik kampanyalardan çok daha nadir olarak görülen, endüstriyel holdinglere yönelik bir dizi yüksek hedefli saldırıyı ortaya çıkardı.

Kaspersky'den yapılan açıklamaya göre, devlet kurumları, diplomatlar ve telekom operatörleri "gelişmiş kalıcı tehditlerin" (APT) öncelikli hedefleri olma eğilimindedir. Çünkü söz konusu bireyler ve kurumlar doğal olarak oldukça gizli ve hassas bilgilere sahiptir. Bundan çok daha ender görülen diğer bir saldırı türü ise endüstriyel varlıklara yönelik siber casusluk girişimleridir. Bunlar endüstriyel sistemlere yönelik diğer tüm saldırılar gibi işletme için yıkıcı sonuçlar doğurabilir. Bu nedenle MontysThree'nin etkinliği Kaspersky araştırmacılarının dikkatini çekti.

MontysThree, casusluk faaliyetlerini gerçekleştirmek için dört parçadan oluşan kötü amaçlı yazılım seti kullanıyor. Bunlardan ilki olan yükleyici, kişi listeleri, teknik dokümantasyonlar ve tıbbi analiz sonuçları gibi ilgi çekici bilgilerini içeriyormuş gibi görünen RAR SFX dosyalarını (kendiliğinden açılan arşivler) kullanılarak çalışanları bunları indirmeye ve çalıştırmaya ikna ediyor. Yükleyici, öncelikle kötü amaçlı yazılımın sistemde algılanmamasını sağlamaktan sorumlu. Bunu yapmak için steganografi olarak bilinen bir teknikten yardım alıyor.

Steganografi, saldırganlar tarafından verilerin değiş tokuş edildiği gerçeğini gizlemek için kullanılıyor. MontysThree örneğinde kötü amaçlı yük, bir Bitmap görüntü dosyası içinde gizleniyor. Doğru komut girildiğinde yükleyici, piksel dizisindeki içeriğin şifresini çözmek ve kötü amaçlı yükü çalıştırmak için özel olarak hazırlanmış bir algoritmadan faydalanıyor.

Kötü amaçlı yük, algılamadan kaçınmak için birkaç şifreleme tekniğini birden kullanıyor. Yani kontrol sunucusuyla iletişimi şifrelemek ve kötü amaçlı yazılımdan atanan ana görevlerin şifresini çözmek için bir RSA algoritmasından faydalanıyor. Bu, belirli uzantılara sahip ve belirli şirket dizinlerinde yer alan belgelerin aranması işini üstleniyor. MontysThree özellikle Microsoft ve Adobe Acrobat belgelerini hedeflemek için tasarlanmış oluşuyla dikkat çekiyor. Ayrıca saldırganların ilgisini çekip çekmeyeceğini görmek için hedefin ekran görüntülerini ve sistemin parmak izini (sisteme dair ağ ayarları, ana bilgisayar adı gibi) yakalayabiliyor.

Toplanan bilgiler ve kontrol sunucusuyla iletişim süreci Google, Microsoft ve Dropbox gibi genel bulut hizmetlerinde barındırılıyor. Bu, iletişim trafiğinin kötü amaçlı olarak algılanmasını zorlaştırıyor ve hiçbir antivirüs bu hizmetleri engellemediğinden, kontrol sunucusunun komutları kesintisiz olarak yürütmesini sağlıyor.

MontysThree, virüslü sistemde kalıcılık sağlamak için Windows Hızlı Başlatma üzerinde değişiklik yapmak gibi basit bir yöntemden yararlanıyor. Kullanıcılar, Hızlı Başlatma araç çubuğunu kullanarak internet tarayıcı gibi uygulamaları her çalıştırdıklarında, kötü amaçlı yazılımın ilk modülünü de aktif hale getirmiş oluyor. Kaspersky, kullanılan kötü amaçlı kodda veya altyapıda bilinen APT’lerle herhangi bir benzerliğe rastlamadı.


- " Personelinize temel siber güvenlik hijyen eğitimi verin"


Açıklamada görüşlerine yer verilen Kaspersky Küresel Araştırma ve Analiz Ekibi Kıdemli Güvenlik Araştırmacısı Denis Legezo, bulgulara dair şunları aktardı:

"MontysThree endüstriyel holdingleri hedefleyen, karmaşık ve amatör TTP'lerin birleşiminden doğmuş ilginç bir araç. Gelişmişliği modülden modüle değişse de en gelişmiş APT'lerle kıyaslanacak seviyede değil. Ancak güçlü kriptografik standartlar kullanması ve özel steganografi tekniklerinden yararlanması oldukça dikkat çekici. Saldırganların MontysThree araç setini geliştirmek için önemli bir çaba sarf ettikleri ve amaçlarını gerçekleştirmekte kararlı oldukları, bunun kısa ömürlü bir kampanya olmadığı açık."

Açıklamada ayrıca MontysThree gibi saldırılardan korumak için Kaspersky uzmanları şu önerilerde bulundu:

"Hedeflenen saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, personelinize temel siber güvenlik hijyen eğitimi verin. Kimlik avı e-postalarını nasıl ayırt edeceklerini bildiklerinden emin olmak için simüle edilmiş bir kimlik avı saldırısı gerçekleştirin. SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın.

Kaspersky Tehdit İstihbarat Portalı, şirketinize Kaspersky tarafından 20 yıldan fazla bir süredir toplanan siber saldırı verilerini ve içgörüleri sağlar.Uç nokta düzeyinde saldırı algılama, araştırma ve engelleme için Kaspersky Endpoint Detection and Response çözümlerini kullanın.Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi gelişmiş tehditleri ağ düzeyinde erken bir aşamada algılayan kurumsal düzeyde bir güvenlik çözümünü benimseyin.Kurumsal sistemlerin yanı sıra endüstriyel uç noktaları da koruduğunuzdan emin olun. Kaspersky Industrial CyberSecurity çözümü, endüstriyel ağdaki her türlü şüpheli ve potansiyel olarak kötü niyetli etkinliği ortaya çıkarmak için uç noktalara özel koruma ve ağ izleme özelliğine sahip."

Yorumlar (0)
banner69
17
parçalı bulutlu
Namaz Vakti 21 Nisan 2021
İmsak 04:26
Güneş 05:53
Öğle 12:45
İkindi 16:27
Akşam 19:28
Yatsı 20:48
Puan Durumu
Takımlar O P
1. Beşiktaş 34 72
2. Fenerbahçe 34 69
3. Galatasaray 33 65
4. Trabzonspor 34 59
5. Hatayspor 34 53
6. Alanyaspor 34 52
7. Gaziantep FK 33 51
8. Sivasspor 34 51
9. Karagümrük 34 50
10. Göztepe 35 47
11. Rizespor 34 42
12. Antalyaspor 35 42
13. Konyaspor 34 41
14. Malatyaspor 33 37
15. Ankaragücü 33 37
16. Kasımpaşa 34 37
17. Kayserispor 34 35
18. Başakşehir 33 33
19. Gençlerbirliği 34 32
20. Erzurumspor 34 31
21. Denizlispor 33 26
Takımlar O P
1. Giresunspor 31 63
2. Adana Demirspor 31 61
3. Samsunspor 31 61
4. Altay 31 57
5. İstanbulspor 31 57
6. Altınordu 31 53
7. Ankara Keçiörengücü 31 49
8. Ümraniye 31 47
9. Tuzlaspor 31 47
10. Bursaspor 31 43
11. Bandırmaspor 31 39
12. Boluspor 31 38
13. Balıkesirspor 31 35
14. Adanaspor 31 34
15. Menemenspor 31 31
16. Akhisar Bld.Spor 31 26
17. Ankaraspor 31 23
18. Eskişehirspor 31 8
Takımlar O P
1. Man City 32 74
2. M. United 32 66
3. Leicester City 31 56
4. Chelsea 32 55
5. West Ham 32 55
6. Liverpool 32 53
7. Tottenham 32 50
8. Everton 31 49
9. Arsenal 32 46
10. Leeds United 32 46
11. Aston Villa 30 44
12. Wolverhampton 32 41
13. Crystal Palace 31 38
14. Southampton 31 36
15. Newcastle 32 35
16. Brighton 32 34
17. Burnley 32 33
18. Fulham 33 27
19. West Bromwich 31 24
20. Sheffield United 32 14
Takımlar O P
1. Atletico Madrid 31 70
2. Real Madrid 31 67
3. Barcelona 30 65
4. Sevilla 31 64
5. Villarreal 31 49
6. Real Betis 31 48
7. Real Sociedad 31 47
8. Granada 30 39
9. Levante 31 38
10. Celta de Vigo 31 38
11. Athletic Bilbao 30 37
12. Osasuna 31 37
13. Cádiz 31 36
14. Valencia 31 35
15. Getafe 31 31
16. Deportivo Alaves 31 27
17. Huesca 31 27
18. Real Valladolid 30 27
19. Elche 31 26
20. Eibar 31 23