OilRig, tedarik zinciri şirketlerine sızdı!

Kaspersky uzmanları, OilRig APT’nin Orta Doğu ve Türkiye’de artan BT tedarik zinciri taarruzlarına karşı uyardı!

Kaspersky araştırmacıları, geçtiğimiz günlerde Kazakistan’ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde, Orta Doğu ve Türkiye’de on yılı aşkın müddettir faal olan OilRig Gelişmiş Kalıcı Tehdit (APT) kümesi tarafından geliştirildiği düşünülen yeni bir makus gayeli yazılımın bir dizi akın gerçekleştirdiğini duyurdu. Küme, Orta Doğu, Türkiye ve Afrika’daki yüksek profilli devlet kurumlarını siber casusluk maksadıyla gaye almasıyla tanınıyor.

OilRig APT,  genellikle toplumsal mühendislik taktiklerini kullanarak kurbanlarının yazılım ve teknik mevzulardaki açıklarından faydalanıyor. Bununla birlikte Kaspersky uzmanları, kümenin araç setini güncellediğini ve üçüncü parti BT şirketleri aracılığıyla amaçlarına sızmak için ısrarcı ve daha kapalı yollara başvurduğunu fark etti.

Kaspersky uzmanları, 2022’nin sonlarında başlayan ve devam eden bir araştırma sırasında APT kümesinin bölgedeki BT şirketlerinin terminal sunucularına erişmek için PowerShell komut belgeleri çalıştırdığını ve maksatları hakkında kimlik bilgileri ve hassas bilgiler topladığını keşfetti. Küme çalınan bilgileri gayelerine sızmak, Komuta ve Denetim (C2) irtibatları gerçekleştirmek ve bilgi sızdırmak gayesiyle Microsoft Exchange Web Hizmetlerine dayanan makus gayeli yazılım örneklerini dağıtmak için kullandı. İncelenen makus emelli yazılımın, kelam konusu tehdit aktörü tarafından kullanılan eski bir berbat emelli yazılımın varyantı olduğu görüldü.

Grup, daima ve zımnî erişim sağlamak için lokal tesir alanı parola değişikliklerinin engellenmesini sağlayan yeni bir DLL tabanlı parola filtresi kullandı. Bu sayede saldırganlar, gayelerin e-posta hizmetleri üzerinden saldırganların denetimindeki Protonmail ve Gmail adreslerine gönderilen iletiler aracılığıyla hassas bilgilerle birlikte güncellenmiş şifreleri de çalmayı başardı.

Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout, şunları söyledi: ” Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde duyurduğumuz üzere OilRig, üçüncü parti bilişim şirketlerini istismar etmek için kullandığı karmaşık ve büyük ölçüde değiştirilmiş taktik, teknik ve prosedürlerle ‘gizli mod’ kavramını bir üst düzeye taşıdı. Araştırmalarımız, üçüncü parti ataklarının öteki taktiklere kıyasla daha kapalı, çevik ve tespit edilmeden kaldığını ve bu bölgedeki devlet kurumlarının işleyişi için önemli risk oluşturduğunu ortaya koyuyor. Tedarik zincirinin bir kesimi olan BT şirketlerine sızmaya yönelik bu radikal değişim, bölgesel devlet kurumlarının siber güvenlik oyunlarını hızlandırdığının ve APT kümelerini kalıpların dışında düşünmeye ittiğinin bir göstergesi niteliğinde.”

Kaspersky araştırmacıları, devletlere ve işletmelere aşağıdaki ipuçlarını takip etmelerini ve kendilerini üçüncü taraf tedarik zinciri akınlarının kurbanı olmaktan müdafaalarını öneriyor:

  • Kurumunuzun sonlarının ötesindeki bilgi ve varlıklarını da koruyan bütünsel, âlâ entegre edilmiş bir siber güvenlik yaklaşımına yatırım yapın. 
  • Tehdit İstihbaratından yararlanmak çok kıymetlidir. Kaspersky Threat Intelligence Portal gibi tahlilleri kullanmak, BT gruplarınızı gerçek vakitli bilgiler ve içgörülerle donatabilir ve güçlü bir savunma oluşturmak için varlıklı bir uzmanlık kaynağına erişim sağlayabilir. 
  • Kurumunuz içinde bir sızma testi yapın ve üçüncü parti hizmet sağlayıcılarınızı bunun dışında bırakmayın. 
  • Siber savunmanız, fakat birinci savunma çizgisi olarak kabul edilen çalışanlarınız kadar güçlüdür. Her büyüklükteki şirket için siber farkındalık eğitimini otomatikleştiren Kaspersky Automated Security Awareness Platform gibi tahlillerle onları yanlışsız bilgilerle donatın 
  • Verilerinizi tertipli olarak yedekleyin ve vakit zaman bütünlüğünü denetim edin.

 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Oyun Haberleri

Değerlendirme
0 (0 Oy)