Kaspersky, Evasive Panda’nın Türkiye, Çin ve Hindistan’ı gaye alan yeni odaklı hücumlarını ortaya çıkardı

Kaspersky, Evasive Panda isimli tehdit aktörü tarafından yürütülen sofistike bir siber casusluk kampanyasına ilişkin yeni bulgularını paylaştı. Saldırganlar, ziyanlı yazılımları legal sistem süreçlerine enjekte ederek çalıştırdı ve ele geçirilen sistemlerde uzun mühlet fark edilmeden kalmayı başardığı tespit edildi. Kasım 2022 ile Kasım 2024 ortasında faal olan operasyon kapsamında Türkiye, Çin ve Hindistan’daki sistemler maksat alındı; birtakım enfeksiyonların bir yılı aşkın mühlet boyunca devam ettiği tespit edildi. Bu durum, kümenin daima gelişen taktiklerini ve gaye ağlara uzun vadeli sızma konusundaki kararlılığını gözler önüne seriyor.

Saldırılarda, SohuVA, iQIYI Görüntü, IObit Smart Defrag ve Tencent QQ üzere tanınan Windows uygulamalarına ilişkin yazılım güncellemeleri üzere görünen aldatıcı tuzaklar kullanıldı. Geçersiz güncelleyiciler, emniyetli yazılımlarla uyumlu görünecek formda tasarlanarak saldırganların makûs gayeli faaliyetleri birinci etapta fark edilmeden başlatmasına imkan tanıdı. Ayrıyeten saldırganlar, DNS zehirleme tekniği kullanarak bir ziyanlı yazılım bileşenini kendi sunucularından dağıttı ve bu bileşenin tanınan ve yasal bir internet sitesinde barındırılıyormuş izlenimi vermesini sağladı.

Saldırının merkezinde, Evasive Panda tarafından en az 2012’den bu yana siber casusluk hedefiyle kullanılan, on yılı aşkın geçmişe sahip modüler bir ziyanlı yazılım çerçevesi olan MgBot yer alıyor. Tuş kaydı alma, belge hırsızlığı ve komut çalıştırma üzere fonksiyonlar için eklentiler içeren MgBot, 2022–2024 periyodundaki akınlar kapsamında yeni yapılandırmalarla güncellendi. Bu güncellemeler ortasında, akınların kesintisiz devam etmesini ve uzun periyodik erişimi garanti altına almak emeliyle birden fazla komuta-kontrol (C2) sunucusunun devreye alınması da bulunuyor.

Kaspersky güvenlik uzmanı Fatih Sensoy, bahse ait şu değerlendirmede bulundu:“Bu kampanya, saldırganların savunma sistemlerinden kaçınma konusundaki uğraşlarını ve MgBot üzere kendini kanıtlamış araçları tekrar kullanma stratejilerini açıkça ortaya koyuyor. İki yıl süren bu operasyon, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı yansıtıyor. Bilhassa dikkat çeken nokta, implantların sunucu tarafında işletim sistemi ortamına özel olarak uyarlanması; bu da son derece gayeli bir casusluk faaliyetine imkan tanıyor. Kurumların bu tıp uzun soluklu kampanyalara karşı, tehdit istihbaratına dayalı proaktif güvenlik tedbirleri alması büyük değer taşıyor.”

Kaspersky, kurumları ve kişisel kullanıcıları bu ve gibisi tehditlere karşı dikkatli olmaya çağırıyor. Yürütülen araştırma doğrultusunda Kaspersky’nin teklifleri şöyle sıralanıyor:

• Yazılım güncellemeleri sürecinde çok faktörlü kimlik doğrulamanın uygulanması ve güncelleme paketlerinin; beklenmeyen evrak konumlandırmaları yahut bilinen ziyanlı şablonlarla kod benzerlikleri üzere anomalilere karşı uç nokta algılama ve karşılık (EDR) tahlilleriyle ayrıntılı biçimde incelenmesi öneriliyor.
• Ortadaki Adam (Adversary-in-the-Middle – AitM) akınlarına yönelik göstergelerin tespiti için ağ izleme yetkinliklerinin güçlendirilmesi; DNS karşılıkları ile ağ trafiğinin, zehirleme yahut müdahale belirtileri açısından sistemli olarak denetlenmesi değer taşıyor.
• Kullanıcıların, sağlam tedarikçilerden geliyormuş üzere görünen düzmece güncelleme temalı oltalama (phishing) teşebbüslerini ayırt edebilmeleri için farkındalık ve eğitim çalışmalarının artırılması gerekiyor.
• Bireysel kullanıcıların ise muteber ve kendini kanıtlamış muhafaza tahlilleri kullanarak sistemlerinde proaktif ziyanlı yazılım taramaları gerçekleştirmesi tavsiye ediliyor.

Detaylı bilgilere link üzerinden ulaşılabilir.

Kaynak: (BYZHA) Beyaz Haber Ajansı