Son üç aylık APT eğilimleri özeti, Kaspersky’nin özel tehdit istihbaratı araştırmalarının yanı sıra başka kaynaklardan toplanan bilgileri de içeriyor. Özette araştırmacıların herkesin bilmesi gerektiğine inandığı önemli gelişmeler yer alıyor.
2020’in ilk çeyreğinde elde edilen bulgular Asya’daki APT faaliyetlerinin Güneydoğu Asya, Kore ve Japonya’daki saldırılarla arttığını gösterdi. Kaspersky yaratıcı ve bazen düşük bütçeli saldırılarla adından söz ettiren yeni APT gruplarının CactusPete ve Lazarus gibi tanınmış grupların yanında varlığını hissettirmeye başladığını da gözlemledi.
Bunların yanı sıra mobil platformlara artan ilgi, bu platforma düzenlenen saldırıların ve zararlı yazılım dağıtımının artacağının sinyalini veriyor. Kaspersky yakın zaman önce mobil saldırılara odaklanan birçok saldırı hakkında raporlar yayınladı. Bunlar arasında, Hong Kong’da iOS ve Android cihazlarına yönelik LightSpy tuzak saldırısı ve Güneydoğu Asya’daki kurbanları hedef alan PhantomLance adlı Android casusluk saldırısı yer alıyor. Bu iki saldırıda da forumlar ve sosyal medyadan Google Play uygulama mağazasına kadar birçok farklı çevrim içi platformdan başarılı bir şekilde yararlanılması, saldırganların zararlı yazılımları dağıtmak için kullandığı akıllı yöntemleri gözler önüne seriyor.
Mobil zararlı yazılımları yalnızca Asya’yı hedef alan APT grupları kullanmıyor. Örneğin, TransparentTribe adlı grup “USBWorm” adını verdikleri yeni bir modülle Afganistan ve Hindistan’daki kullanıcıları hedef alan bir saldırı düzenledi. Geliştirilen zararlı yazılım Android cihazlarını etkiledi. Saldırıda kullanılan zararlı yazılım, GitHub’da herkese açık bulunabilen açık kaynaklı “AhMyth” Android uzaktan yönetim aracının değiştirilmiş bir sürümüydü.
COVID-19 salgını da Mart ayının ortasından beri çeşitli APT grupları tarafından kurbanları çekmek için kullanılıyor. Ancak bunun kurbanlardan yararlanmak için kullanılan popüler bir konu olmanın dışında yeni bir taktik için değerlendirildiği henüz görülmedi. COVID-19 konusunu kullanan APT grupları arasında Kimsuky, Hades ve DarkHotel yer alıyor.
Kaspersky Global Araştırma ve Analiz Ekibi Baş Güvenlik Araştırmacısı Vincente Diaz, “APT faaliyetleri salgın sırasında durmadı. Bazı tehdit grupları bu durumdan farklı şekillerde yararlanmaya çalıştı. Örneğin, itibarlarını artırmak için bu dönemde sağlık kuruluşlarını hedef almayacaklarını açıklayanlar oldu. Elde ettiğimiz bulgular APT faaliyetlerini yönlendiren en önemli etkenlerin finansal kazanç ve jeopolitik konular olmaya devam ettiğini gösteriyor. Son iki yıl içinde ortaya çıkan gruplar kalıcı tehditler olarak yerlerini sağlamlaştırmış durumda. Mobil platformlara yönelik saldırılar artmaya devam ediyor. Yeni gruplar yaratıcı çözümlerle ortaya çıkarken daha tecrübeli gruplar ise neredeyse görünmez hale geldi. Bunun muhtemel nedeni hepimizin karşı karşıya kaldığı değişken şartlar olabilir. Her zaman olduğu gibi, her şeyi göremediğimizi ve henüz radarımıza girmeyen veya tamamen anlamadığımız faaliyetler olabileceğini hatırlatmakta fayda var. Bu nedenle bilindik ve bilinmedik tehditlere karşı korunmak herkes için büyük önem taşıyor.” dedi.
Birinci çeyrek APT eğilimleri raporu Kaspersky’nin yalnızca abonelerine sunduğu tehdit istihbaratı raporlarının bir özetini sunuyor. Raporda ayrıca araştırmalara ve zararlı yazılım avına yardımcı olacak Sızma Belirtileri (IOC) verileri ve YARA kuralları yer alıyor. Daha fazla bilgi için intelreports@kaspersky.com adresiyle iletişime geçebilirsiniz.
Kaspersky araştırmacıları, tanınmış veya tanınmamış bir tehdit grubu tarafından düzenlenen bu tür bir saldırıdan etkilenmemek için şunları öneriyor:
2020 birinci çeyrek APT eğilimleri raporunun tamamını Securelist’te okuyabilirsiniz.
Hibya Haber Ajansı