ESET Research, Eylül-Aralık 2022 periyoduna ilişkin APT(gelişmiş kalıcı tehdit) Faaliyet Raporu’nu yayınladı.
ESET araştırmacıları tarafından hazırlanan rapora nazaran bu periyotta Rusya ile kontaklı APT kümeleri, yıkıcı data silici ve fidye yazılımlar kullanarak Özellikle Ukrayna’yı amaç Meydan operasyonlarda yer almaya devam etti. Çin kontaklı bir Küme olan Goblin Panda, Mustang Panda’nın Avrupa ülkelerine olan ilgisini kopyalamaya başladı. İran irtibatlı kümeler da yüksek seviyede aktiflik gösteriyorlar. Sandworm ile birlikte, Callisto, Gamaredon üzere öbür Rus APT kümeleri, şark Avrupa vatandaşlarını hedef Meydan kimlik avı hücumlarına devam ettiler.
ESET APT Faaliyet Raporu’nda ön plana çıkan başlıklar şu biçimde sıralanıyor:
ESET, Ukrayna’da Kötü şöhretli Sandworm kümesinin bir güç kesimi şirketine karşı evvelden bilinmeyen bir data silici yazılımı kullandığını tespit etti. APT kümelerinin operasyonları ekseriyetle devlet yahut devlet dayanaklı iştirakçiler tarafından gerçekleştiriliyor. Laf konusu hücum, Ekim ayında Rus silahlı kuvvetlerinin güç altyapısını gaye Meydan roket atakları başlatmasıyla tıpkı devirde gerçekleşti. ESET, bu akınlar ortasındaki uyumu kanıtlayamasa da, Sandworm ve Rus ordusunun tıpkı gayesi taşıdığını öngörüyor.
ESET, daha Evvel keşfedilen bir sıra data silici yazılım ortasından en yeni olana NikoWiper ismini verdi. Bu yazılım, Ekim 2022’de Ukrayna’da güç kesiminde aktiflik gösteren bir şirkete karşı kullanılmıştı. NikoWiper, Microsoft’un belgeleri inançlı bir halde silmek için kullandığı bir komut satırı Yardımcı programı olan SDelete tabanlı. ESET, bilgi silen Kötü emelli yazılıma ek olarak, fidye yazılımını silici olarak kullanan Sandworm hücumlarını keşfetti. Bu ataklarda fidye yazılımı kullanılsa da asıl Gaye dataların imha edilmesi. Bilindik fidye yazılımı akınlarının tersine, Sandworm operatörleri bir şifre çözme anahtarı sağlamıyor.
Ekim 2022’de Prestige fidye yazılımının Ukrayna ve Polonya’daki lojistik şirketlerine karşı kullanıldığı ESET tarafından tespit edildi. Kasım 2022’de Ukrayna’da RansomBoggs ismi verilen .NET’te yazılmış yeni bir fidye yazılımı keşfedildi. ESET Research, bu kampanyayı Twitter hesabında kamuoyuna bildirdi. Sandworm ile birlikte, Callisto ve Gamaredon üzere diğer Rus APT kümeleri, kimlik bilgilerini Aşırmak ve implant yerleştirmek için Ukrayna amaçlı kimlik avı akınlarına devam ettiler.
ESET araştırmacıları ayrıyeten Japonya’daki politikleri gaye Meydan bir MirrorFace maksatlı kimlik avı saldırısı tespit etti ve kimi Çin temaslı kümelerin maksadında basamak değişikliği ayrım etti – Goblin Panda, Mustang Panda’nın Avrupa ülkelerine olan ilgisini kopyalamaya başladı. Kasım ayında ESET, Avrupa Birliği’ndeki bir devlet kuruluşunda TurboSlate ismini verdiği yeni bir Goblin Panda arka kapısı keşfetti. Mustang Panda da Avrupa kuruluşlarını gaye almaya devam etti. Eylül ayında, İsviçre’nin güç ve mühendislik bölümündeki bir kuruluşta Mustang Panda tarafından kullanılan bir Korplug yükleyici tespit edildi.
İran irtibatlı kümeler da akınlarına devam etti – POLONIUM, İsrail şirketlerinin yanı sıra, bu şirketlerin yabancı Yan kuruluşlarını da gaye almaya başladı ve MuddyWater muhtemelen, faal bir Emniyet hizmeti sağlayıcısının güvenliğine sızdı.
Kuzey Kore ilişkili kümeler, dünyanın Türlü yerlerindeki kripto Nakit şirketlerine ve borsalarına sızmak için eski Emniyet açıklarını kullandı. enteresan bir formda Konni, tuzak dokümanlarında kullandığı lisanları genişleterek, listesine İngilizceyi de ekledi; bu da her zamanki Rusya ve Güney Kore maksatlarına odaklanmadığı manasına gelebilir.
Kaynak: (BYZHA) – ak Haber Ajansı
