Finans sektörü ve savunma sanayi hedef tahtasında
Havacılık ve savunma endüstrileri, finans kesimi ve kripto para borsaları maksat olmaya devam ediyor
ESET, havacılık ve savunma endüstrilerine yönelik ataklar da dâhil olmak üzere Rusya, Kuzey Kore, İran ve Çin irtibatlı tehdit aktörlerinin faaliyetlerinin incelendiği APT Faaliyet Raporu’nu yayınladı.
ESET Research, ESET’in gelişmiş kalıcı tehdit (APT) kümelerinin faaliyetleri hakkındaki bulgularına periyodik bir genel bakış sunmayı amaçlayan ESET APT Aktiflik Raporu yayınlamaya başladı. ESET Research, Mayıs-Ağustos 2022 tarihlerini kapsayan birinci kısımda, Rusya, Çin, İran ve Kuzey Kore irtibatlı tehdit aktörlerinin APT faaliyetlerinde rastgele bir düşüş görmedi. Ukrayna, Rus işgalinden sekiz ay sonra bile makus şöhretli Sandworm üzere Rusya çizgisindeki APT kümelerinin yanı sıra Gamaredon, InvisiMole, Callisto ve Turla’nın ana hedefi olmaya devam ediyor. Havacılık ve savunma sanayileri, finans ve kripto para birimi firmaları ve borsaları, Kuzey Kore ile bağlantılı grupların saldırı alanı olmaya devam ediyor.
ESET Tehdit Araştırması Direktörü Jean-Ian Boutin Mayıs -Ağustos aylarını kapsayan dönemde Rusya bağlantılı birkaç grubun, C&C sunucularına erişmek veya bilgi sızdırmak amacıyla, Rus çok platformlu mesajlaşma servisi Telegram’ı araç olarak kullandıklarını fark ettiklerini belirtti. Öteki bölgelerden gelen tehdit aktörlerinin de hem siber casusluk hem de fikri mülkiyet hırsızlığı için Ukraynalı kuruluşlara erişmeye çalıştıklarının altını çizdi. Jean-Ian Boutin açıklamalarında şunlara yer verdi: “Havacılık ve savunma sanayi, Kuzey Kore ile bağlantılı grupların ilgisini çekmeye devam ediyor. Lazarus, Hollanda’daki bir havacılık şirketinin çalışanını hedef aldı. Araştırmamıza göre, grup şirkete sızmak için meşru bir Dell sürücüsündeki güvenlik açığını kötüye kullandı.”
Finansal kuruluşlara sızmaya çalışıyorlar
Kripto para ünitesi ile çalışan finansal kurum ve kuruluşlar, Kuzey Kore ilişkili Kimsuky ve iki Lazarus kampanyası tarafından gaye alındı. Bunlardan biri, Arjantin’den bir kişiyi Coinbase’de iş teklifi kılığına girmiş makûs gayeli yazılımlarla maksat alarak, her zamanki hedeflemesi olan havacılık ve savunma endüstrilerinin dışına çıktı. ESET ayrıyeten geçmişte Lazarus tarafından kullanılan bir tekniği kullanarak Konni’yi tespit etti.
Çin ile bağlantılı gruplar, çeşitli güvenlik açıklarını ve daha önce bildirilmemiş arka kapıları kullanarak oldukça aktif oldular. ESET, SparklingGoblin tarafından Hong Kong’daki bir üniversiteye karşı kullanılan bir art kapının Linux varyantını tanımladı. Tıpkı küme, Almanya’daki bir gıda üretim şirketini ve ABD merkezli bir mühendislik şirketini hedef almak için bir Confluence güvenlik açığından yararlandı. ESET Research, Japonya’da biri direkt meclis üyeleri seçimleriyle kontaklı birkaç MirrorFace kampanyası tespit etti.
Artan sayıdaki İran çizgisindeki küme, gayretlerini yüklü olarak çeşitli İsrail kurumlarına odaklamaya devam etti. ESET araştırmacıları, İsrail’deki bir düzine kuruluşu hedef alan bir kampanyayı POLONIUM’a bağlayabildi ve daha evvel belgelenmemiş birkaç art kapıyı tespit edebildi. Güney Afrika, Hong Kong ve İsrail’deki elmas endüstrisinde olan veya bunlarla bağlantılı kuruluşlar, ESET Research’ün bu dikey alanda kullanılan İsrail merkezli bir yazılım paketini berbata kullanan bir tedarik zinciri saldırısı olarak gördüğü Agrius tarafından gaye alındı. İsrail’deki bir diğer kampanyada, MuddyWater ve APT35 kümeleri ortasında emsal araç kullanımı örtüşmesinin göstergeleri bulundu. ESET Research ayrıyeten APT-C-50 kümesi tarafından yürütülen bir kampanyada Android berbat gayeli yazılımlarının yeni bir sürümünü keşfetti.
Kaynak: (BYZHA) – Beyaz Haber Ajansı