APT41, Çin merkezli olduğu düşünülen, telekom, eğitim, sağlık, enerji ve BT sektörlerinde faaliyet gösteren kuruluşlara yönelik casusluk faaliyetleriyle biliniyor. Grup bugüne kadar en az 42 ülkede saldırılar düzenledi.
Saldırı Nasıl Gerçekleşti? Sızma ve Yayılma Teknikleri
Kaspersky uzmanlarının analizine göre, saldırganlar internete açık bir web sunucusu üzerinden kurum ağına erişim sağladı. Ardından:
-
Kayıt defteri boşaltma tekniğiyle, biri yerel yönetici, diğeri etki alanı yöneticisi yetkilerine sahip iki farklı kurumsal hesap ele geçirildi.
-
Bu hesaplar aracılığıyla kurumun tüm ağına erişim sağlandı.
-
Pillager adı verilen bir veri hırsızı aracı, çalıştırılabilir bir dosyadan DLL (Dinamik Bağlantı Kitaplığı) olarak derlenerek, çok sayıda veri kaynağından bilgi toplamak üzere kullanıldı:
-
Tarayıcı kimlik bilgileri
-
Veritabanları
-
Ekran görüntüleri
-
Kaynak kodları
-
E-posta içeriği ve yazılım listeleri
-
Wi-Fi ve işletim sistemi kimlik bilgileri
-
Saldırganlar ayrıca Checkout adlı ikinci bir veri hırsızı yazılımı kullandı. Bu yazılım sayesinde:
-
Tarayıcı geçmişi
-
İndirilen dosyalar
-
Kayıtlı kredi kartı bilgileri gibi hassas verilere ulaşıldı.
Komuta ve Kontrol (C2) bağlantısı kurmak için Cobalt Strike yazılımı kullanılırken, bu süreçte ayrıca RawCopy ve DLL olarak derlenmiş Mimikatz gibi araçlarla kimlik bilgileri ele geçirildi.
SharePoint Sunucusu ile C2 Bağlantısı Kuruldu
Kaspersky MDR Lider SOC Analisti Denis Kulik, saldırganların Cobalt Strike’a ek olarak kurbanın SharePoint sunucusunu C2 iletişim kanalı olarak kullandığını belirtti. Kulik’e göre bu taktik, meşru bir iç ağ bileşeni gibi davranarak şüphe uyandırmadan iletişim kurmayı amaçlıyor:
“SharePoint zaten kurum altyapısında yer alan güvenilir bir sistem olduğu için, saldırganlar veri sızdırmak ve kontrol sağlamak adına bu yöntemi tercih etmiş olabilir. Bu da güvenliği ihlal edilmiş sistemleri tespit etmeyi daha da zorlaştırıyor.”
Saldırıdan Korunmak İçin Kaspersky’den Güvenlik Önerileri
Kaspersky, benzer siber saldırılardan korunmak isteyen kurumlara şu güvenlik önlemlerini öneriyor:
-
Tüm iş istasyonlarına eksiksiz güvenlik aracısı kurun ve sistemleri sürekli izleyin.
-
Kullanıcı ve hizmet hesabı ayrıcalıklarını düzenli olarak gözden geçirin.
-
Kaspersky Next ürün ailesinden EDR/XDR çözümleri ile gerçek zamanlı tehdit görünürlüğü sağlayın.
-
Compromise Assessment, MDR ve Incident Response gibi yönetilen hizmetlerden yararlanın.
-
Kaspersky Tehdit İstihbaratı ile en güncel siber tehditler hakkında bilgi sahibi olun.
APT41 Kimdir?
APT41, özellikle devlet destekli olduğu düşünülen, Çin merkezli siber tehdit gruplarından biridir. Hem siber casusluk hem de finansal çıkar amacıyla saldırılar düzenlemesiyle bilinir. Genellikle hedefe özel saldırı teknikleri ve özel geliştirilmiş zararlı yazılımlar kullanır.
Sonuç: Gelişmiş Casusluk Saldırıları Kurumları Tehdit Etmeye Devam Ediyor
Bu son saldırı, gelişmiş tehdit gruplarının sadece küresel değil, yerel ölçekte de kamu ve özel sektör altyapılarını hedef almaya devam ettiğini bir kez daha gösterdi. Kurumların siber savunma mekanizmalarını sürekli olarak güncellemesi ve izleme sistemlerini sağlamlaştırması, bu tür tehditlere karşı öncelikli adım olarak öne çıkıyor.
