İSTANBUL (AA) - Kaspersky uzmanları, Çin merkezli APT41 grubuyla ilişkilendirilen bir siber casusluk saldırısında Güney Afrika'daki bir kuruluşun hedef alındığını bildirdi.

Şirketten yapılan açıklamaya göre, Kaspersky Yönetilen Tespit ve Müdahale ekibi tarafından Güney Afrikalı bir kuruluşa yönelik bir siber casusluk saldırısını tespit etti.

Çince konuşan APT41 grubuyla ilişkilendirilen saldırının Güney Afrika'da sınırlı faaliyet gösteriyor olsa da bölgedeki ülkelerden birindeki kamu bilgi teknolojileri (BT) hizmetlerini hedef aldığını ve kimlik bilgileri, dahili belgeler, kaynak kodu ile iletişim dahil olmak üzere hassas verilerin ele geçirilmesine yönelik olduğu belirtildi.

Saldırı siber casusluk amacı taşırken, saldırganlar, kuruluşun ağında ele geçirdikleri makinelerden hassas verileri toplamaya çalışıyor. APT41 siber casusluk konusunda uzmanlaşmış bir grup ve telekomünikasyon sağlayıcıları, eğitim ve sağlık kurumları, BT, enerji ve diğer sektörler de dahil olmak üzere çeşitli sektörlerdeki kuruluşları hedef alıyor. Grubun en az 42 ülkede faaliyet gösterdiği biliniyor.

Kaspersky uzmanlarının analizine göre, saldırganların kuruma ait internete açık bir web sunucusu üzerinden ağa erişim sağlamış olabileceği değerlendiriliyor. Tehdit aktörlerinin, kayıt defteri boşaltma olarak bilinen bir kimlik bilgisi toplama yöntemiyle, biri tüm iş istasyonlarında yerel yönetici yetkilerine, diğeri ise etki alanı yöneticisi ayrıcalıklarına sahip bir yedekleme çözümüne ait olan iki kurumsal hesabı ele geçirdiği tespit edildi. Bu hesapların ele geçirilmesi, saldırganlara kurum içindeki diğer sistemlere de erişim imkanı sundu.

Uzmanlar, saldırganların veri toplamak amacıyla değiştirilmiş 'Pillager' yardımcı programı kullandığını belirledi. Bu araç, verileri dışa aktarmak ve şifrelerini çözmek için çalıştırılabilir bir dosyadan Dinamik Bağlantı Kitaplığı (DLL) biçimine dönüştürülerek kullanıldı.

Saldırganların bu yöntemle tarayıcılarda, veritabanlarında ve yönetim araçlarında saklanan kimlik bilgilerinin yanı sıra proje kaynak kodları, ekran görüntüleri, aktif sohbet oturumları, e-posta yazışmaları, yüklü yazılım listeleri, işletim sistemi bilgileri ve Wi-Fi erişim verilerini çalmayı amaçlıyor.

Saldırı sırasında kullanılan ikinci veri hırsızlığı aracı ise 'Checkout' oldu. Bu yazılımın, kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen dosyalar ile tarayıcılarda depolanan kredi kartı verilerini de toplayabiliyor. Saldırganların ayrıca RawCopy adlı yardımcı program ile Mimikatz'ın Dinamik Bağlantı Kitaplığı (DLL) biçiminde derlenmiş bir sürümünü kullanarak sistem kayıt dosyaları ve kimlik bilgilerini elde ettiği, Komuta ve Kontrol (C2) iletişimi için ise Cobalt Strike yazılımından faydalandı.

Kaspersky, benzer saldırılarının önüne geçmek için kuruluşlara, olayların zamanında tespit edilmesini sağlamak ve olası hasarı en aza indirmek için güvenlik aracılarının istisnasız olarak kurum içindeki tüm iş istasyonlarında konuşlandırıldığından emin olmaları tavsiye ediyor.ü

- Kaspersky uzmanlarından saldırıya karşı öneriler

Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirilip, kontrol edilmesini kaydeden uzmanlar, şu önerilerde bulundu:

'Özellikle altyapı içinde birden fazla ana bilgisayarda kullanılan hesaplar için aşırı hak atamalarından kaçının. Şirketi çok çeşitli tehditlere karşı korumak için, her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve EDR ve XDR'nin yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın.

Tehdit tanımlamadan sürekli koruma ve düzeltmeye kadar tüm olay yönetimi döngüsünü kapsayan, Kaspersky'nin Compromise Assessment, Managed Detection and Response (MDR) ve/veya Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin. Bunlar siber saldırılara karşı korunmaya, olayları araştırmaya ve şirkette siber güvenlik çalışanı olmasa bile ek uzmanlık elde etmeye yardımcı olurlar. InfoSec profesyonellerinize kurumunuzu hedef alan siber tehditler hakkında derinlemesine bir görünürlük sağlayın. En yeni Kaspersky Tehdit İstihbaratı, tüm olay yönetimi döngüsü boyunca zengin ve anlamlı bir bağlam sağlar ve siber riskleri zamanında tespit etmelerine yardımcı olur.'

- 'Bu tür sofistike saldırılara karşı savunma yapmak mümkün değildir'

Açıklamada görüşlerine yer verilen Kaspersky Yönetilen Tespit ve Müdahale Lider SOC Analisti Denis Kulik, saldırganların Cobalt Strike'ın yanı sıra C2 iletişim kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiklerini belirtti.

Kulik, saldırganların sunucuyla bir internet kabuğuna bağlı özel C2 aracıları kullanarak iletişim kurduklarını aktararak, şu ifadeleri kullandı:

'SharePoint'i altyapıda zaten mevcut olan ve şüphe uyandırması muhtemel olmayan bir dahili hizmet olduğu için seçmiş olabilirler. Ayrıca bu durum, muhtemelen meşru bir iletişim kanalı aracılığıyla veri sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları kontrol etmek için en uygun yolu sundu. Genel olarak kapsamlı uzmanlık ve tüm altyapının sürekli izlenmesi olmadan bu tür sofistike saldırılara karşı savunma yapmak mümkün değildir. Kötü niyetli faaliyetleri erken bir aşamada otomatik olarak engelleyebilen çözümlerle tüm sistemlerde tam güvenlik kapsamı sağlamak ve kullanıcı hesaplarına aşırı ayrıcalıklar vermekten kaçınmak çok önemlidir.'