ESET Research, Eylül-Aralık 2022 dönemi için APT (gelişmiş kalıcı tehdit) Etkinlik Raporunu yayınladı.
ESET araştırmacılarının raporuna göre, bu dönemde Rusya ile temas halinde olan APT kümeleri, yıkıcı bilgi silici ve fidye yazılımları kullanarak özellikle Ukrayna’yı hedef alan operasyonlarda yer almaya devam etti. Çin’e bağlı bir grup olan Goblin Panda, Mustang Panda’nın Avrupa ülkelerine olan ilgisini kopyalamaya başladı. İran bağlantılı kümeler de üst düzeyde faaliyet gösteriyor. Sandworm ile birlikte, Callisto, Gamaredon gibi diğer Rus APT kümeleri, Doğu Avrupa vatandaşlarını hedef alan kimlik avı saldırılarına devam etti.
ESET APT Etkinlik Raporunun öne çıkan özellikleri aşağıdaki biçimde listelenmiştir:
ESET, Ukrayna’daki kötü şöhretli Sandworm kümesinin bir enerji dağıtım şirketine karşı önceden bilinmeyen veri silme yazılımını kullandığını tespit etti. APT kümelerinin operasyonları çoğunlukla devlet veya devlet destekli iştirakçiler tarafından yürütülür. Söz konusu saldırı, Rus silahlı kuvvetlerinin Ekim ayında enerji altyapısını hedef alan füze saldırıları düzenlemesiyle eş zamanlı olarak gerçekleşti. ESET bu baskınlar arasında birlik olduğunu kanıtlayamasa da, Sandworm ve Rus ordusunun aynı amacı taşıdığını tahmin ediyor.
ESET, daha önce keşfedilen bir dizi veri silme yazılımının en yenisi olan NikoWiper’ı seçti. Bu yazılım, Ekim 2022’de Ukrayna’da enerji sektöründe faaliyet gösteren bir şirkete karşı kullanıldı. NikoWiper, Microsoft’un dosyaları güvenli bir şekilde silmek için kullandığı bir komut satırı yardımcı programı olan SDelete tabanlıdır. ESET, veri silen kötü amaçlı yazılıma ek olarak, fidye yazılımını silecek olarak kullanan Sandworm saldırılarını keşfetti. Bu saldırılarda fidye yazılım kullanılsa da asıl amaç verileri yok etmektir. Yaygın fidye yazılımı saldırılarının aksine, Sandworm operatörleri bir şifre çözme anahtarı sağlamaz.
Ekim 2022’de ESET tarafından Prestige fidye yazılımının Ukrayna ve Polonya’daki lojistik şirketlerine karşı kullanıldığı tespit edildi. Kasım 2022’de Ukrayna’da RansomBoggs adlı .NET’te yazılmış yeni bir fidye yazılımı keşfedildi. ESET Research, bu kampanyayı Twitter hesabında herkese açık hale getirdi. Sandworm ile birlikte, Callisto ve Gamaredon gibi diğer Rus APT kümeleri, kimlik bilgilerini çalmak ve implant yerleştirmek için Ukrayna’daki kimlik avı saldırılarına devam etti.
ESET araştırmacıları ayrıca Japonya’daki politikacıları hedef alan bir MirrorFace hedefli kimlik avı saldırısı tespit etti ve Çin bağlantılı bazı grupların hedeflenmesinde bir aşama kayması fark etti – Goblin Panda, Mustang Panda’nın Avrupa ülkelerine olan ilgisini kopyalamaya başladı. Kasım ayında ESET, Avrupa Birliği’ndeki bir devlet kurumunda TurboSlate adını verdiği yeni bir Goblin Panda arka kapısı keşfetti. Mustang Panda, Avrupa kuruluşlarını da hedef almaya devam etti. Eylül ayında Mustang Panda tarafından İsviçre’deki bir enerji ve mühendislik şubesinde kullanılan bir Korplug yükleyici tespit edildi.
İran temas kümeleri de saldırılarına devam etti – POLONIUM, İsrail şirketlerinin yanı sıra yabancı yan kuruluşlarını da hedef almaya başladı ve MuddyWater muhtemelen aktif bir güvenlik hizmeti sağlayıcısına sızdı.
Kuzey Kore bağlantılı kümeler, dünya çapındaki kripto para şirketlerine ve borsalara sızmak için eski güvenlik açıklarını kullandı. İlginç bir şekilde Konni tuzak kağıtlarında kullandığı dilleri genişleterek İngilizceyi de listesine ekledi; bu da her zamanki Rusya ve Güney Kore hedeflerine odaklanmadığı anlamına gelebilir.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
