Siber güvenlik firmaları Symantec ve Carbon Black tarafından yakın zamanda yapılan bir analiz, Rusya bağlantılı tehdit aktörlerinin, karadan uzakta yaşama tekniklerine ve minimum düzeyde kötü amaçlı yazılıma güvenerek Ukraynalı kuruluşlara karşı karmaşık kampanyalar yürüttüğünü ortaya koyuyor. Bulgulara göre, bu operasyonlar iki ay boyunca büyük bir ticari hizmetler kuruluşunu ve bir hafta boyunca bir yerel yönetim organını hedef aldı.
Saldırılar, muhtemelen bir veya daha fazla yamalanmamış güvenlik açığından yararlanıldıktan sonra, ticari kuruluşun ağındaki halka açık sunuculara web kabuklarının konuşlandırılmasıyla başladı. Erişim sağlandıktan sonra saldırganlar, tespit edilmekten kaçınmak, zamanlanmış görevler ayarlamak ve her otuz dakikada bir bellek dökümleri oluşturmak için PowerShell gibi yerel araçları kullandı.
Davetsiz misafirler tarafından kullanılan araçlar arasında, daha önce BadPilot kampanyası olarak bilinen kampanya kapsamında Rusya bağlantılı Sandworm ekibinin bir alt grubuna atfedilen bir ağ kabuğu olan “LocalOlive” de vardı. Bu bağlantıya rağmen araştırmacılar, kampanyanın Sandworm’un faaliyetlerinin bir parçası olduğuna dair henüz kesin bir kanıt bulamadılar.
Saldırganlar ayrıca “kee” ile başlayan çalışan işlemleri listelemek için komutlar da yürüttüler, bu da muhtemelen KeePass şifre yöneticisi kasasını hedef aldıklarını düşündürdü. Daha sonra OpenSSH gibi yazılımlar yüklediler, ağ trafiği kurallarını değiştirdiler, arka kapılar için zamanlanmış görevler oluşturdular ve kötü niyetli etkinlikleri maskelemek için “winbox64.exe” adlı meşru bir yönlendirici yönetim aracı tanıttılar.
Bu operasyon, tehdit aktörlerinin minimum ayak izi kullandığı ve bariz kötü amaçlı yazılımlar yerine ağırlıklı olarak meşru sistem araçlarına güvendiği daha geniş bir Rus kökenli e-suç modeline giriyor. Amaç, ani kesintiden ziyade kalıcı erişim ve veri hırsızlığı gibi görünüyor. Araştırmacılar, saldırganların içeri girmek, yanal olarak hareket etmek, kimlik bilgilerini çalmak ve uzun süre tespit edilmekten kaçınmak için Windows ekosistemine ilişkin derin bilgilerden nasıl yararlanabileceklerini açıklıyor.
Rapor, bu tür saldırılara yanıt vermedeki en önemli zorluklardan birinin, özel istismar ikili dosyaları yerine yerel yardımcı programların kullanılması olduğunu belirtiyor. İşlemler ortamda zaten mevcut olan araçlar kullanılarak yürütüldüğünde, dış tehditleri veya bilinen kötü amaçlı yazılımları tespit etmeye odaklanan birçok geleneksel uç nokta güvenlik çözümünü atlayabilirler.
Analiz, belirli bir suç aktörünü veya tehdit grubunu kesin olarak tanımlamasa da, kanıtlar, kampanyanın arkasında muhtemelen Rusya merkezli bir örgütün veya en azından o bölgede faaliyet gösteren bir örgütün olduğunu gösteriyor. Uzmanlar, kolluk kuvvetleri ve istihbarat baskısı arttıkça, bu tehdit aktörlerinin giderek daha fazla işletme gibi faaliyet gösterdiği, çift kullanımlı araçlar kullandığı ve tespit eşiklerinin altında kalmak için minimum ayak izi benimsediği konusunda uyarıyor.
Ukrayna ve ötesinde faaliyet gösteren kuruluşlar için olay, yerel araç kullanımını izlemenin, zamanlanmış görevleri gözden geçirmenin ve uzaktan erişim protokollerini denetlemenin önemini vurguluyor. Savunma ekipleri, saldırganların verileri örneklemek ve sessizce hareket etmek için meşru sistem araçlarını kullanarak zaten ağlarının içinde olabileceğini varsaymalıdır. Bu düşük profilli kampanyaları önlemek veya tespit etmek için hızlı güvenlik açığı yönetimi, davranışsal izleme ve gelişmiş günlük kaydı uygulamak çok önemlidir.
Bu bulgular, ulus devlet operasyonları ile organize suç arasındaki örtüşmenin artmasıyla birlikte siber tehdit ortamı geliştikçe ortaya çıkıyor. Bu özel kampanya ani sabotajdan ziyade hırsızlığa odaklanmış gibi görünse de, aynı taktikler kritik altyapıya, tedarik zincirlerine veya kalıcı erişimin çok değerli olduğu sektörlere de uygulanabilir.
Site Disclaimer
2-remove-virus.com is not sponsored, owned, affiliated, or linked to malware developers or distributors that are referenced in this article. The article does not promote or endorse any type of malware. We aim at providing useful information that will help computer users to detect and eliminate the unwanted malicious programs from their computers. This can be done manually by following the instructions presented in the article or automatically by implementing the suggested anti-malware tools.
The article is only meant to be used for educational purposes. If you follow the instructions given in the article, you agree to be contracted by the disclaimer. We do not guarantee that the artcile will present you with a solution that removes the malign threats completely. Malware changes constantly, which is why, in some cases, it may be difficult to clean the computer fully by using only the manual removal instructions.