Kaspersky uzmanları, OilRig APT’nin Orta şark ve Türkiye’de artan BT tedarik zinciri taarruzlarına karşı uyardı!

Kaspersky araştırmacıları, geçtiğimiz günlerde Kazakistan’ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Emniyet Hafta Sonu 2023 (CSW23) etkinliğinde, Orta şark ve Türkiye’de on yılı aşkın müddettir faal olan OilRig Gelişmiş Kalıcı Tehdit (APT) kümesi tarafından geliştirildiği düşünülen yeni bir Üzücü gayeli yazılımın bir sıra hamle gerçekleştirdiğini duyurdu. Küme, Orta Doğu, Türkiye ve Afrika’daki yüksek profilli devlet kurumlarını siber casusluk gayesiyle maksat almasıyla tanınıyor.

OilRig APT,  genellikle toplumsal mühendislik taktiklerini kullanarak kurbanlarının yazılım ve teknik hususlardaki açıklarından faydalanıyor. Bununla Birlikte Kaspersky uzmanları, kümenin araç setini güncellediğini ve üçüncü parti BT şirketleri aracılığıyla amaçlarına sızmak için ısrarcı ve daha gizli yollara başvurduğunu ayrım etti.

Kaspersky uzmanları, 2022’nin sonlarında başlayan ve devam eden bir araştırma sırasında APT kümesinin bölgedeki BT şirketlerinin terminal sunucularına erişmek için PowerShell komut evrakları çalıştırdığını ve maksatları hakkında kimlik bilgileri ve hisli datalar topladığını keşfetti. Küme çalınan bilgileri maksatlarına sızmak, Komuta ve Denetim (C2) bağlantıları gerçekleştirmek ve data sızdırmak emeliyle Microsoft Exchange Web Hizmetlerine dayanan Üzücü gayeli yazılım örneklerini dağıtmak için kullandı. İncelenen Üzücü gayeli yazılımın, Laf konusu tehdit aktörü tarafından kullanılan eski bir Kötü hedefli yazılımın varyantı olduğu görüldü.

Grup, Daimi ve gizli erişim sağlamak için Mahallî tesir alanı parola değişikliklerinin engellenmesini sağlayan yeni bir DLL tabanlı parola filtresi kullandı. Bu sayede saldırganlar, amaçların e-posta hizmetleri üzerinden saldırganların denetimindeki Protonmail ve Gmail adreslerine gönderilen iletiler aracılığıyla hisli bilgilerle Bir arada güncellenmiş şifreleri de çalmayı başardı.

Kaspersky Kıdemli Emniyet Araştırmacısı Maher Yamout, şunları söyledi: ” Siber Emniyet Hafta Sonu 2023 (CSW23) etkinliğinde duyurduğumuz üzere OilRig, üçüncü parti bilişim şirketlerini istismar etmek için kullandığı karmaşık ve Aka ölçüde değiştirilmiş taktik, teknik ve prosedürlerle ‘gizli mod’ kavramını bir üst düzeye taşıdı. Araştırmalarımız, üçüncü parti ataklarının öbür taktiklere kıyasla daha zımnî, çevik ve tespit edilmeden kaldığını ve bu bölgedeki devlet kurumlarının işleyişi için Önemli risk oluşturduğunu ortaya koyuyor. Tedarik zincirinin bir kesimi olan BT şirketlerine sızmaya yönelik bu radikal değişim, bölgesel devlet kurumlarının siber Emniyet oyunlarını hızlandırdığının ve APT kümelerini kalıpların dışında düşünmeye ittiğinin bir göstergesi niteliğinde.”

Kaspersky araştırmacıları, devletlere ve işletmelere aşağıdaki ipuçlarını takip etmelerini ve kendilerini üçüncü taraf tedarik zinciri ataklarının kurbanı olmaktan muhafazalarını öneriyor:

• Kurumunuzun hudutlarının ötesindeki data ve varlıklarını da koruyan bütünsel, âlâ entegre edilmiş bir siber Emniyet yaklaşımına yatırım yapın. 
• Tehdit İstihbaratından yararlanmak Fazla kıymetlidir. Kaspersky Threat Intelligence Portal gibi tahlilleri kullanmak, BT takımlarınızı gerçek vakitli bilgiler ve içgörülerle donatabilir ve kuvvetli bir savunma oluşturmak için Varlıklı bir uzmanlık kaynağına erişim sağlayabilir. 
• Kurumunuz içinde bir sızma testi yapın ve üçüncü parti hizmet sağlayıcılarınızı bunun dışında bırakmayın. 
• Siber savunmanız, lakin birinci savunma sınırı olarak kabul edilen çalışanlarınız kadar güçlüdür. Her büyüklükteki şirket için siber farkındalık eğitimini otomatikleştiren Kaspersky Automated Security Awareness Platform gibi tahlillerle onları hakikat bilgilerle donatın 
• Verilerinizi nizamlı olarak yedekleyin ve Vakit vakit bütünlüğünü Denetim edin.

Kaynak: (BYZHA) ak Haber Ajansı