İSTANBUL (AA) - Kaspersky araştırmacıları, 2021 yılının ortalarında "Volatile Cedar" olarak da adlandırılan Orta Doğu kaynaklı Gelişmiş Kalıcı Tehdit (APT) grubu DeftTorero tarafından gerçekleştirilen yeni bir saldırı dalgası keşfetti.
Kaspersky açıklamasına göre, ilk kez 2012'de tespit edilen APT grubu özellikle Birleşik Arap Emirlikleri, Suudi Arabistan, Mısır, Kuveyt, Lübnan, Ürdün ve Türkiye'de kamu, savunma, eğitim, kurumsal şirketler ve telekomünikasyon sektörlerini hedef alıyor.
Volatile Cedar, geçmişte hassas bilgileri toplamak için erişilebilir web sunucularına veya dahili sistemlere yerleştirilen Explosive adlı özel hazırlanmış bir uzaktan erişim Truva atı kullanıyordu.
APT grubu, gereksiz yere dikkat çekmemek için sadece seçilmiş bir avuç hedefe saldırmayı tercih ediyordu. Grup internete açık bir sunucunun kontrolünü ele geçirdiğinde parola doldurma veya yeniden kullanma gibi yöntemlerle çeşitli yollardan dahili ağa sızıyordu.
Kaspersky araştırmacıları, Lübnan kökenli olduğundan şüphelenilen Volatile Cedar'ı 2015'ten beri izliyor. Grup kendini sessize aldığından ve 2021'e kadar yeni bir istihbarat veya izinsiz giriş bildirilmediğinden dolayı Kaspersky uzmanları, tehdit aktörünün TTP'lerinde olası bir değişiklikten şüpheleniyorlardı, yani dosyasız kötü amaçlı yazılım kullandıklarını ve böylece etkinliklerinin tespit edilmesini engellediklerini düşünüyorlardı.
Kaspersky araştırmasının da gösterdiği üzere Volatile Cedar, bir web kabuğu yüklemek için hedef web sunucusunda barındırılan bir dosya yükleme formundan ve/veya web uygulamasındaki komut enjeksiyonuna izin veren güvenlik açığından yararlanmış olabilir. Diğer durumlarda büyük olasılıkla sunucu yöneticileri tarafından önceden yüklenen eklentilerden yararlanıldı ve aynı kuruluştaki sistemlerden alınan sunucu kimlik bilgileri, kötü amaçlı komut dosyası veya web kabuğu dağıtmak için Uzak Masaüstü Protokolü aracılığıyla oturum açmak için kullanıldı.
APT grubu, kötü amaçlı komut dosyasını yüklemenin bir yolunu bulduğunda dahili sistemlere sızmak için ek araçlar bırakmaya odaklandı. Kaspersky'nin izinsiz giriş analizi, toplu olarak dağıtılan neredeyse tüm web kabuklarının bir GitHub hesabından kaynaklandığını ve bunların ya olduğu gibi kullanıldığını ya da biraz değiştirildiğini gösteriyor.
- "APT gruplarının yıllarca fark edilmeden kalmanın yaratıcı yollarını bulduğunu biliyoruz"
Açıklamada görüşlerine yer verilen Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ariel Jungheit, APT gruplarının yıllarca fark edilmeden kalmanın yaratıcı yollarını bulduğunu bildiklerini aktararak, şunları kaydetti:
"DeftTorero geçmişte yüksek düzeyde bir teknolojik yeteneğe sahip olmasa da zaman şunu kanıtladı ki, açık kaynaklı araçlar, dosyasız saldırılar ve araç modifikasyonu hala kurbanları başarılı bir şekilde tuzağa düşürmek için kullanılıyor. APT grubu arka kapıları kullanarak yalnızca hedefine giden ağ geçitlerini bulmakla kalmıyor, aynı zamanda diğer sunuculara bağlanmak için de bunları kullanabiliyor. Bu tür saldırılar hızla geliştiğinden ve çoğu zaman fark edilemediğinden erken aşamalarda hafifletilmeleri bir zorunluluktur. Bu nedenle kuruluşların herkese açık web uygulamalarından kaynaklanan güvenlik açıklarını ve web uygulamalarının dosya bütünlüğünü sürekli olarak izlemelerini tavsiye ediyoruz."
Kuruluşların APT gruplarının tuzağına düşmemesi için Kaspersky araştırmacıları, web sunucularındaki dosya bütünlüğünün izlenmesi de dahil olmak üzere web güvenlik açıklarının kapsamlı bir şekilde değerlendirilmesi gerektiğini öneriyor.
Kaspersky araştırmacıları, arada bir web sunucusu yedeklerinin taranması gerektiğine işaret ederek, tehdit aktörünün araçlarından bazılarının yedeklere sızdığını, bu nedenle yedeklerin daha sonraki bir aşamada geri yüklenmesi halinde tehdit aktörünün yeniden kalıcı erişim kazanabildiğini ve kaldığı yerden işine devam edebildiğini belirtiyor.
Kaspersky araştırmacıları, BT yöneticilerinin web uygulamaları, FTP sunucuları gibi herkese açık saldırı odaklarının farkında olması gerektiğini vurguluyor.
Anadolu Ajansı ve İHA tarafından yayınlanan yurt haberleri Mynet.com editörlerinin hiçbir müdahalesi olmadan, sözkonusu ajansların yayınladığı şekliyle mynet sayfalarında yer almaktadır. Yazım hatası, hatalı bilgi ve örtülü reklam yer alan haberlerin hukuki muhatabı, haberi servis eden ajanslardır. Haberle ilgili şikayetleriniz için bize ulaşabilirsiniz