Kaspersky, güvenlik açıklarını kullanan "GhostEmperor"un ayrıntılarını ortaya koydu

- Kaspersky Güvenlik Uzmanı David Emm: - "GhostEmperor, siber suçluların yeni tekniklerden yararlanmak için yeni güvenlik açıklarını nasıl aradıklarının açık bir örneği"

Kaspersky, güvenlik açıklarını kullanan

İSTANBUL (AA) - Kaspersky, Microsoft Exchange güvenlik açıklarını kullanan, uzun süredir devam eden bir operasyon olan "GhostEmperor"un ayrıntılarını ortaya koydu.

Kaspersky açıklamasına göre, gelişmiş kalıcı tehdit (APT) aktörleri, saldırılarını gerçekleştirmek için sürekli olarak yeni, daha karmaşık yollar arıyor.

Kaspersky araştırmacıları, APT gruplarının araç setlerini nasıl yenilediğini ve güncellediğini sürekli izliyor. Kaspersky'nin 3 aylık raporuna göre tehdit ortamı, 2021'in ikinci çeyreğinde Microsoft Exchange sunucularına yönelik saldırılarda bir artışa sahne oldu. En son APT 2021 Raporunda Kaspersky, Microsoft Exchange güvenlik açıklarını kullanan, uzun süredir devam eden benzersiz bir operasyon olan "GhostEmperor"un ayrıntılarını ortaya koydu. Gelişmiş bir araç setiyle yüksek profilli kurbanları hedefleyen bu saldırının bilinen herhangi bir tehdit aktörüne yakınlığı yok.

GhostEmperor, Kaspersky araştırmacıları tarafından keşfedilen, Çince konuşan bir tehdit aktörü. Çoğunlukla devlet kurumları ve telekom şirketleri başta olmak üzere Güneydoğu Asya'daki hedeflere odaklanıyor.

Bu aktör, önceden bilinmeyen bir Windows çekirdek modu kök dizini (rootkit) kullanmasıyla öne çıkıyor. Kök dizinleri, hedefledikleri sunucular üzerinde uzaktan kontrol erişimi sağlıyor, gizlice hareket ediyor ve bu sayede araştırmacılardan, güvenlik çözümlerinden saklanabiliyor. Windows Sürücü İmza Uygulama mekanizmasını atlamak için GhostEmperor, "Cheat Engine" isimli açık kaynaklı bir projenin bileşenini içeren bir yükleme şeması kullanıyor. Kaspersky araştırmacıları bu benzersiz ve gelişmiş araç setinin bilinen tehdit aktörleriyle hiçbir benzerlik göstermediğini ifade ediyor. Kaspersky uzmanları, bu araç setinin Temmuz 2020'den beri kullanıldığını tahmin ediyor.

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı David Emm, "Tespit ve koruma teknikleri geliştikçe APT aktörleri de gelişiyor. Bunlar genellikle araç setlerini yeniliyor ve güncelliyor. GhostEmperor, siber suçluların yeni tekniklerden yararlanmak için yeni güvenlik açıklarını nasıl aradıklarının açık bir örneği. Daha önce bilinmeyen, gelişmiş bir rootkit kullanarak, Microsoft Exchange sunucularına karşı zaten iyi kurgulanmış olan saldırı tekniğine yeni bir açılım getirdiler." ifadelerini kullandı.

Kaspersky uzmanları, Microsoft Exchange sunucularına yönelik saldırıların artmasının yanı sıra, 2. çeyrekte APT ortamında aşağıdaki eğilimleri de vurguluyor. Saldırıya uğrayan ağlarda ilk dayanak noktası elde etmek için istismarlardan yararlanan APT tehdit aktörlerinde, "Moses" tarafından yayılan sıfır gün açıkları ve PuzzleMaker, Pulse Secure saldırılarında ve Microsoft Exchange sunucusunda kullanılanlar dahil olmak üzere bir artış oldu.

APT tehdit aktörleri, araç setlerini yenilemeye yatırım yapmaya devam ediyor. WildPressure'ın macOS destekli Python kötü amaçlı yazılımında görüldüğü gibi bu, sadece yeni platformların dahil edilmesini değil, aynı zamanda ek dillerin kullanımını da içeriyor. Tedarik zinciri saldırılarından bazıları büyük olmasına ve dünya çapında dikkat çekmesine rağmen, Kaspersky uzmanları BountyGlad, CoughingDown ve Codecov'u hedef alan saldırı gibi eşit derecede başarılı düşük teknolojili saldırılar da gözlemledi. Bunlar güvenlik için önemli bir tehdit.


- "Kurumsal düzeyde güvenlik çözümü uygulayın"


Kaspersky araştırmacıları, bilinen veya bilinmeyen bir tehdit aktörü tarafından hedefli bir saldırının mağduru olmaktan kaçınmak için şunları öneriyor:

"SOC ekibinizin en son tehdit istihbaratına (TI) erişimini sağlayın. Kaspersky Tehdit İstihbarat Portalı, şirketin tehdit istihbaratı için tek bir erişim noktasıdır ve Kaspersky tarafından 20 yılı aşkın bir süredir toplanan siber saldırı verileri ve öngörüleri sağlar. Kullanıcıların dosyaları, URL'leri ve IP adreslerini kontrol etmesine izin veren küratörlü özelliklerine ücretsiz erişim burada mevcuttur. GReAT uzmanları tarafından geliştirilen Kaspersky çevrimiçi eğitimiyle en son hedefli tehditlerle mücadele için siber güvenlik ekibinizin becerilerini yükseltin.

Uç nokta düzeyinde algılama, inceleme ve olayların zamanında düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayın. Temel uç nokta korumasını benimsemenin yanı sıra, Kaspersky Anti Targeted Attack Platform gibi ağ düzeyindeki gelişmiş tehditleri erken bir aşamada tespit eden kurumsal düzeyde bir güvenlik çözümü uygulayın. Birçok hedefli saldırı kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığından, güvenlik farkındalığı eğitimini sunun ve ekibinize pratik beceriler öğretin. Bunu Kaspersky Automated Security Awareness Platform aracılığıyla yapabilirsiniz."

YORUM EKLE
SIRADAKİ HABER