Kaspersky, Evasive Panda adlı tehdit aktörü tarafından yürütülen sofistike bir siber
casusluk kampanyasına ilişkin yeni bulgularını paylaştı. Saldırganlar, zararlı
yazılımları meşru sistem süreçlerine enjekte ederek çalıştırdı ve ele geçirilen
sistemlerde uzun süre fark edilmeden kalmayı başardığı tespit edildi. Kasım
2022 ile Kasım 2024 arasında aktif olan operasyon kapsamında Türkiye, Çin ve
Hindistan'daki sistemler hedef alındı, bazı enfeksiyonların bir yılı aşkın süre
boyunca devam ettiği tespit edildi. Bu durum, grubun sürekli gelişen taktiklerini
ve hedef ağlara uzun vadeli sızma konusundaki kararlılığını gözler önüne seriyor.

Saldırılarda, SohuVA, iQIYI Video, IObit Smart Defrag ve Tencent QQ gibi popüler
Windows uygulamalarına ait yazılım güncellemeleri gibi görünen aldatıcı tuzaklar
kullanıldı. Sahte güncelleyiciler, güvenilir yazılımlarla uyumlu görünecek şekilde
tasarlanarak saldırganların kötü amaçlı faaliyetleri ilk aşamada fark edilmeden
başlatmasına olanak tanıdı. Ayrıca saldırganlar, DNS zehirleme tekniği
kullanarak bir zararlı yazılım bileşenini kendi sunucularından dağıttı ve bu bileşenin
popüler ve meşru bir internet sitesinde barındırılıyormuş izlenimi vermesini
sağladı.

Saldırının merkezinde, Evasive Panda tarafından en az 2012'den bu yana siber casusluk
amacıyla kullanılan, on yılı aşkın geçmişe sahip modüler bir zararlı yazılım
çerçevesi olan MgBot yer alıyor. Tuş kaydı alma, dosya hırsızlığı ve komut
çalıştırma gibi işlevler için eklentiler içeren MgBot, 2022-2024 dönemindeki saldırılar
kapsamında yeni yapılandırmalarla güncellendi. Bu güncellemeler arasında,
saldırıların kesintisiz devam etmesini ve uzun süreli erişimi garanti altına
almak amacıyla birden fazla komuta-kontrol (C2) sunucusunun devreye alınması
da bulunuyor.

Kaspersky güvenlik uzmanı Fatih Sensoy, konuya ilişkin şu değerlendirmede bulundu:Bu
kampanya, saldırganların savunma mekanizmalarından kaçınma konusundaki çabalarını
ve MgBot gibi kendini kanıtlamış araçları yeniden kullanma stratejilerini
açıkça ortaya koyuyor. İki yıl süren bu operasyon, kullanıcıların günlük hayatta
güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim
sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı
yansıtıyor. Özellikle dikkat çeken nokta, implantların sunucu tarafında işletim
sistemi ortamına özel olarak uyarlanması, bu da son derece hedefli bir casusluk
faaliyetine olanak tanıyor. Kurumların bu tür uzun soluklu kampanyalara
karşı, tehdit istihbaratına dayalı proaktif güvenlik önlemleri alması büyük önem
taşıyor.

Kaspersky, kurumları ve bireysel kullanıcıları bu ve benzeri tehditlere karşı dikkatli
olmaya çağırıyor. Yürütülen araştırma doğrultusunda Kaspersky'nin önerileri
şöyle sıralanıyor:
- Yazılım güncellemeleri sürecinde çok faktörlü kimlik doğrulamanın uygulanması
ve güncelleme paketlerinin, beklenmeyen dosya konumlandırmaları veya bilinen zararlı
şablonlarla kod benzerlikleri gibi anomalilere karşı uç nokta algılama ve
yanıt (EDR) çözümleriyle detaylı biçimde incelenmesi öneriliyor.
- Ortadaki Adam (Adversary-in-the-Middle - AitM) saldırılarına yönelik göstergelerin
tespiti için ağ izleme yetkinliklerinin güçlendirilmesi, DNS yanıtları ile
ağ trafiğinin, zehirleme veya müdahale belirtileri açısından düzenli olarak denetlenmesi
önem taşıyor.
- Kullanıcıların, güvenilir tedarikçilerden geliyormuş gibi görünen sahte güncelleme
temalı oltalama (phishing) girişimlerini ayırt edebilmeleri için farkındalık
ve eğitim çalışmalarının artırılması gerekiyor.
- Bireysel kullanıcıların ise güvenilir ve kendini kanıtlamış koruma çözümleri kullanarak
sistemlerinde proaktif zararlı yazılım taramaları gerçekleştirmesi tavsiye
ediliyor.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -