Kaspersky, Güvenlik Açiklarini Kullanan 'Ghostemperor'un Ayrintilarini Ortaya Koydu
Kaspersky Güvenlik Uzmani David Emm: 'GhostEmperor, siber suçlularin yeni tekniklerden yararlanmak için yeni güvenlik açiklarini nasil aradiklarinin açik bir örnegi'.
Kaspersky, Microsoft Exchange güvenlik açiklarini kullanan, uzun süredir devam eden bir operasyon olan "GhostEmperor"un ayrintilarini ortaya koydu.
Kaspersky açiklamasina göre, gelismis kalici tehdit (APT) aktörleri, saldirilarini gerçeklestirmek için sürekli olarak yeni, daha karmasik yollar ariyor.
Kaspersky arastirmacilari, APT gruplarinin araç setlerini nasil yeniledigini ve güncelledigini sürekli izliyor. Kaspersky'nin 3 aylik raporuna göre tehdit ortami, 2021'in ikinci çeyreginde Microsoft Exchange sunucularina yönelik saldirilarda bir artisa sahne oldu. En son APT 2021 Raporunda Kaspersky, Microsoft Exchange güvenlik açiklarini kullanan, uzun süredir devam eden benzersiz bir operasyon olan "GhostEmperor"un ayrintilarini ortaya koydu. Gelismis bir araç setiyle yüksek profilli kurbanlari hedefleyen bu saldirinin bilinen herhangi bir tehdit aktörüne yakinligi yok.
GhostEmperor, Kaspersky arastirmacilari tarafindan kesfedilen, Çince konusan bir tehdit aktörü. Çogunlukla devlet kurumlari ve telekom sirketleri basta olmak üzere Güneydogu Asya'daki hedeflere odaklaniyor.
Bu aktör, önceden bilinmeyen bir Windows çekirdek modu kök dizini (rootkit) kullanmasiyla öne çikiyor. Kök dizinleri, hedefledikleri sunucular üzerinde uzaktan kontrol erisimi sagliyor, gizlice hareket ediyor ve bu sayede arastirmacilardan, güvenlik çözümlerinden saklanabiliyor. Windows Sürücü Imza Uygulama mekanizmasini atlamak için GhostEmperor, "Cheat Engine" isimli açik kaynakli bir projenin bilesenini içeren bir yükleme semasi kullaniyor. Kaspersky arastirmacilari bu benzersiz ve gelismis araç setinin bilinen tehdit aktörleriyle hiçbir benzerlik göstermedigini ifade ediyor. Kaspersky uzmanlari, bu araç setinin Temmuz 2020'den beri kullanildigini tahmin ediyor.
Açiklamada görüslerine yer verilen Kaspersky Güvenlik Uzmani David Emm, "Tespit ve koruma teknikleri gelistikçe APT aktörleri de gelisiyor. Bunlar genellikle araç setlerini yeniliyor ve güncelliyor. GhostEmperor, siber suçlularin yeni tekniklerden yararlanmak için yeni güvenlik açiklarini nasil aradiklarinin açik bir örnegi. Daha önce bilinmeyen, gelismis bir rootkit kullanarak, Microsoft Exchange sunucularina karsi zaten iyi kurgulanmis olan saldiri teknigine yeni bir açilim getirdiler." ifadelerini kullandi.
Kaspersky uzmanlari, Microsoft Exchange sunucularina yönelik saldirilarin artmasinin yani sira, 2. çeyrekte APT ortaminda asagidaki egilimleri de vurguluyor. Saldiriya ugrayan aglarda ilk dayanak noktasi elde etmek için istismarlardan yararlanan APT tehdit aktörlerinde, "Moses" tarafindan yayilan sifir gün açiklari ve PuzzleMaker, Pulse Secure saldirilarinda ve Microsoft Exchange sunucusunda kullanilanlar dahil olmak üzere bir artis oldu.
APT tehdit aktörleri, araç setlerini yenilemeye yatirim yapmaya devam ediyor. WildPressure'in macOS destekli Python kötü amaçli yaziliminda görüldügü gibi bu, sadece yeni platformlarin dahil edilmesini degil, ayni zamanda ek dillerin kullanimini da içeriyor. Tedarik zinciri saldirilarindan bazilari büyük olmasina ve dünya çapinda dikkat çekmesine ragmen, Kaspersky uzmanlari BountyGlad, CoughingDown ve Codecov'u hedef alan saldiri gibi esit derecede basarili düsük teknolojili saldirilar da gözlemledi. Bunlar güvenlik için önemli bir tehdit.
- "Kurumsal düzeyde güvenlik çözümü uygulayin"
Kaspersky arastirmacilari, bilinen veya bilinmeyen bir tehdit aktörü tarafindan hedefli bir saldirinin magduru olmaktan kaçinmak için sunlari öneriyor:
"SOC ekibinizin en son tehdit istihbaratina (TI) erisimini saglayin. Kaspersky Tehdit Istihbarat Portali, sirketin tehdit istihbarati için tek bir erisim noktasidir ve Kaspersky tarafindan 20 yili askin bir süredir toplanan siber saldiri verileri ve öngörüleri saglar. Kullanicilarin dosyalari, URL'leri ve IP adreslerini kontrol etmesine izin veren küratörlü özelliklerine ücretsiz erisim burada mevcuttur. GReAT uzmanlari tarafindan gelistirilen Kaspersky çevrimiçi egitimiyle en son hedefli tehditlerle mücadele için siber güvenlik ekibinizin becerilerini yükseltin.
Uç nokta düzeyinde algilama, inceleme ve olaylarin zamaninda düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayin. Temel uç nokta korumasini benimsemenin yani sira, Kaspersky Anti Targeted Attack Platform gibi ag düzeyindeki gelismis tehditleri erken bir asamada tespit eden kurumsal düzeyde bir güvenlik çözümü uygulayin. Birçok hedefli saldiri kimlik avi veya diger sosyal mühendislik teknikleriyle basladigindan, güvenlik farkindaligi egitimini sunun ve ekibinize pratik beceriler ögretin. Bunu Kaspersky Automated Security Awareness Platform araciligiyla yapabilirsiniz."
Kaynak: AA
Kaspersky açiklamasina göre, gelismis kalici tehdit (APT) aktörleri, saldirilarini gerçeklestirmek için sürekli olarak yeni, daha karmasik yollar ariyor.
Kaspersky arastirmacilari, APT gruplarinin araç setlerini nasil yeniledigini ve güncelledigini sürekli izliyor. Kaspersky'nin 3 aylik raporuna göre tehdit ortami, 2021'in ikinci çeyreginde Microsoft Exchange sunucularina yönelik saldirilarda bir artisa sahne oldu. En son APT 2021 Raporunda Kaspersky, Microsoft Exchange güvenlik açiklarini kullanan, uzun süredir devam eden benzersiz bir operasyon olan "GhostEmperor"un ayrintilarini ortaya koydu. Gelismis bir araç setiyle yüksek profilli kurbanlari hedefleyen bu saldirinin bilinen herhangi bir tehdit aktörüne yakinligi yok.
GhostEmperor, Kaspersky arastirmacilari tarafindan kesfedilen, Çince konusan bir tehdit aktörü. Çogunlukla devlet kurumlari ve telekom sirketleri basta olmak üzere Güneydogu Asya'daki hedeflere odaklaniyor.
Bu aktör, önceden bilinmeyen bir Windows çekirdek modu kök dizini (rootkit) kullanmasiyla öne çikiyor. Kök dizinleri, hedefledikleri sunucular üzerinde uzaktan kontrol erisimi sagliyor, gizlice hareket ediyor ve bu sayede arastirmacilardan, güvenlik çözümlerinden saklanabiliyor. Windows Sürücü Imza Uygulama mekanizmasini atlamak için GhostEmperor, "Cheat Engine" isimli açik kaynakli bir projenin bilesenini içeren bir yükleme semasi kullaniyor. Kaspersky arastirmacilari bu benzersiz ve gelismis araç setinin bilinen tehdit aktörleriyle hiçbir benzerlik göstermedigini ifade ediyor. Kaspersky uzmanlari, bu araç setinin Temmuz 2020'den beri kullanildigini tahmin ediyor.
Açiklamada görüslerine yer verilen Kaspersky Güvenlik Uzmani David Emm, "Tespit ve koruma teknikleri gelistikçe APT aktörleri de gelisiyor. Bunlar genellikle araç setlerini yeniliyor ve güncelliyor. GhostEmperor, siber suçlularin yeni tekniklerden yararlanmak için yeni güvenlik açiklarini nasil aradiklarinin açik bir örnegi. Daha önce bilinmeyen, gelismis bir rootkit kullanarak, Microsoft Exchange sunucularina karsi zaten iyi kurgulanmis olan saldiri teknigine yeni bir açilim getirdiler." ifadelerini kullandi.
Kaspersky uzmanlari, Microsoft Exchange sunucularina yönelik saldirilarin artmasinin yani sira, 2. çeyrekte APT ortaminda asagidaki egilimleri de vurguluyor. Saldiriya ugrayan aglarda ilk dayanak noktasi elde etmek için istismarlardan yararlanan APT tehdit aktörlerinde, "Moses" tarafindan yayilan sifir gün açiklari ve PuzzleMaker, Pulse Secure saldirilarinda ve Microsoft Exchange sunucusunda kullanilanlar dahil olmak üzere bir artis oldu.
APT tehdit aktörleri, araç setlerini yenilemeye yatirim yapmaya devam ediyor. WildPressure'in macOS destekli Python kötü amaçli yaziliminda görüldügü gibi bu, sadece yeni platformlarin dahil edilmesini degil, ayni zamanda ek dillerin kullanimini da içeriyor. Tedarik zinciri saldirilarindan bazilari büyük olmasina ve dünya çapinda dikkat çekmesine ragmen, Kaspersky uzmanlari BountyGlad, CoughingDown ve Codecov'u hedef alan saldiri gibi esit derecede basarili düsük teknolojili saldirilar da gözlemledi. Bunlar güvenlik için önemli bir tehdit.
- "Kurumsal düzeyde güvenlik çözümü uygulayin"
Kaspersky arastirmacilari, bilinen veya bilinmeyen bir tehdit aktörü tarafindan hedefli bir saldirinin magduru olmaktan kaçinmak için sunlari öneriyor:
"SOC ekibinizin en son tehdit istihbaratina (TI) erisimini saglayin. Kaspersky Tehdit Istihbarat Portali, sirketin tehdit istihbarati için tek bir erisim noktasidir ve Kaspersky tarafindan 20 yili askin bir süredir toplanan siber saldiri verileri ve öngörüleri saglar. Kullanicilarin dosyalari, URL'leri ve IP adreslerini kontrol etmesine izin veren küratörlü özelliklerine ücretsiz erisim burada mevcuttur. GReAT uzmanlari tarafindan gelistirilen Kaspersky çevrimiçi egitimiyle en son hedefli tehditlerle mücadele için siber güvenlik ekibinizin becerilerini yükseltin.
Uç nokta düzeyinde algilama, inceleme ve olaylarin zamaninda düzeltilmesi için Kaspersky Endpoint Detection and Response gibi EDR çözümlerini uygulayin. Temel uç nokta korumasini benimsemenin yani sira, Kaspersky Anti Targeted Attack Platform gibi ag düzeyindeki gelismis tehditleri erken bir asamada tespit eden kurumsal düzeyde bir güvenlik çözümü uygulayin. Birçok hedefli saldiri kimlik avi veya diger sosyal mühendislik teknikleriyle basladigindan, güvenlik farkindaligi egitimini sunun ve ekibinize pratik beceriler ögretin. Bunu Kaspersky Automated Security Awareness Platform araciligiyla yapabilirsiniz."