Kaspersky geniş ölçekli bir gelişmiş kalıcı tehdit kampanyasını ortaya çıkardı

İSTANBUL (AA) – Kaspersky uzmanları ilk olarak Güneydoğu Asya'da tespit edilen nadir ve geniş ölçekli bir gelişmiş kalıcı tehdit (APT) kampanyasını ortaya çıkardı.

Kaspersky'den yapılan açıklamaya göre, Kaspersky, bazıları devlet kurumlarından olan yaklaşık bin 500 kurban tespit etti. İlk bulaşma, kötü amaçlı bir Word belgesi içeren hedef odaklı kimlik avı e-postaları yoluyla gerçekleşiyor.

Gelişmiş kalıcı tehdit kampanyaları, doğaları gereği yüksek oranda hedefli olarak gerçekleştiriliyor. Çoğu zaman cerrahi bir hassasiyetle yapılıyor ve yalnızca birkaç düzine kullanıcı hedef alınıyor. Kaspersky son zamanlarda nadiren kullanılan, ancak yine de film benzeri saldırı vektörüne sahip nadir, yaygın bir tehdit kampanyasını ortaya çıkardı.

Tehdit sisteme indirildikten sonra kötü amaçlı yazılım, çıkarılabilir USB sürücüler aracılığıyla yayılarak diğer ana bilgisayarlara bulaşmaya çalışıyor. Bir sürücü bulunursa, kötü amaçlı yazılım sürücüde gizli dizinler oluşturuyor ve kötü amaçlı yürütülebilir dosyalarla birlikte kurbanın tüm dosyalarını taşıyor.

LuminousMoth olarak adlandırılan bu faaliyet, Ekim 2020'den bu yana devlet kurumlarına karşı siber casusluk saldırıları düzenliyor. Saldırganlar başlangıçta Myanmar'a odaklanırken, zamanla odağını Filipinler'e kaydırdı. Sisteme giriş noktası genellikle Dropbox indirme bağlantısına sahip hedef odaklı bir kimlik avı e-postası oluyor. Bağlantı tıklandığında, kötü amaçlı yükü içeren Word belgesi kılığında bir RAR arşivi indiriliyor.

Açıklamada değerlendirmelerine yer verilen Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, "Bu yeni faaliyet kümesi, bir kez daha yıl boyunca tanık olduğumuz bir eğilime işaret ediyor. Çince konuşan tehdit aktörleri, yeni ve bilinmeyen kötü amaçlı yazılım implantlarını yeniden şekillendiriyor ve üretiyor." ifadesini kullandı.

GReAT Güvenlik Araştırmacısı Aseel Kayal da "Saldırı oldukça nadir görülen devasa bir ölçeğe sahip. Filipinler'de Myanmar'dan daha fazla saldırı görmemiz de ilginç. Bunun nedeni USB sürücülerin yayılma mekanizması olarak kullanılması olabilir veya Filipinler'de kullanıldığının henüz farkında olmadığımız başka bir enfeksiyon vektörü olabilir." dedi.

GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres ise "Geçtiğimiz yıl Çince konuşan tehdit aktörlerinin artan etkinliğini görüyoruz. Bu büyük olasılıkla LuminousMoth'un son saldırısı olmayacak. Ayrıca, grubun araç setini daha da geliştirmeye başlama olasılığı da yüksek. Gelecekteki gelişmeleri dikkatle izleyeceğiz." değerlendirmesinde bulundu.

LuminousMoth gibi gelişmiş tehdit kampanyalarından korunmak için Kaspersky uzmanları şunları öneriyor:

"Hedefli saldırıların çoğu kimlik avı veya diğer sosyal mühendislik teknikleriyle başladığı için personelinize temel siber güvenlik hijyeni eğitimi verin.Ağlarınızın siber güvenlik denetimini gerçekleştirin. Çevrede veya ağ içinde keşfedilen zayıflıkları giderin.Anti-APT ve EDR çözümlerinin kullanılması, tehdit keşfi ve tespiti, soruşturma ve olayların zamanında düzeltilmesi yeteneklerini etkinleştirir.

SOC ekibinizin en son tehdit istihbaratına erişimini sağlayın ve profesyonel eğitimlerle düzenli olarak becerilerini yükseltin. Yukarıdakilerin tümü Kaspersky Expert Security çerçevesinde mevcuttur.Uygun uç nokta korumasının yanı sıra, özel hizmetler yüksek profilli saldırılara karşı yardımcı olabilir. Kaspersky Managed Detection and Response hizmeti, saldırganlar hedeflerine ulaşmadan önce, saldırıları erken aşamalarında belirlemeye ve durdurmaya yardımcı olabilir."

Share on facebook
Facebook
Share on twitter
Twitter

Daha Fazla Haber

İSTANBUL (AA) – Kaspersky, cep telefonu çalan hırsızların ne gibi zararlar verebileceğini ve kayıpları önlemek için kullanıcıların alabileceği önlemleri açıkladı.

Şirket açıklamasına göre, her gün kullanılan akıllı telefonlar içerisinde binlerce kişisel veri, fotoğraf ve dokümanı içeriyor. Bu verileri güvende tutmak ve olası bir hırsızlığa karşı önceden önlem almak büyük önem taşıyor. Kullanıcılar akıllı telefonlarını çaldırdıklarında sadece cihazlarını kaybetmekten çok daha fazla hasar alabilirler. Hırsız kullanıcıların bankacılık uygulamalarını, önemli belgelerini, kişisel fotoğraflarını ve videolarını kullanarak telefon sahibini çok daha fazla zarara uğratabilir. Önceden önlemler alarak hırsızların kullanıcıların telefonundan kişisel bilgileri elde etmesi önlenebilir.

Hırsız bir telefonu elde geçirdiğinde eğer telefon kilitliyse yüksek ihtimalleri telefonunun parçalarını satacaktır. Bilgilere ulaşmak için kasıtlı bir hırsızlık durumu yoksa hırsız telefonu "hacklemeye" çalışmayabilir. Açık ve internete bağlı bir cihazı herhangi bir şekilde değiştirmek, hırsızın yakalanma riskini artırır.

Bazen, daha fazla para kazanma isteği dikkatli olma dürtüsünden daha ağır basabilir. Telefon çalındığında bir banka uygulaması açıksa, hırsız sadece birkaç dakika içinde para ve hatta kredi çekebilir. Kullanıcılarının belirli telefon numaralarına kısa mesaj göndererek para aktarmalarına izin veren bazı bankalar bulunuyor. Bu da para çalmayı daha da kolaylaştırıyor; çünkü gönderilecek herhangi bir doğrulama kodunun adresi yine çalınan telefon oluyor.

Hırsızlar genellikle sosyal mühendislikten de yardım alarak telefon sahibinin Google veya Apple ID hesabına giriş yapmayı ve parolasını değiştirmeyi başarırsa, cihazın uzaktan kilitleme şansı kaybedilmiş olur. Çünkü hırsız, elinde çalışan bir akıllı telefon olması için artık cihazı sıfırlayabilir. Böylelikle, sadece parçalarını satarak elde edeceğinden çok daha kazançlı bir şekilde telefonu elinden çıkarabilir.

Ayrıca hırsızlar telefonda önemli belgeler veya fotoğraflar bulduysa kullanıcıyı belgeleri silmek veya başka kişilere göndermekle tehdit ederek fidye talep edebilir. Aynı durum, kullanıcıları veya bir başkasını tehlikeye sokabilecek kişisel dosyalar için de geçerlidir. Bir hırsız, iPhone'daki Dosyalar uygulamasını (başlıca tüm iCloud içeriği), Android'deki akıllı telefon belleğinin tamamını ve telefonun erişebildiği bulut sürücülerini kullanarak bilgileri kopyalayıp analiz edebilir. Üstelik bir hırsız, anlık mesajlaşma uygulamalarından başlayarak kullanabileceği bilgiler için konuşmaları tarayabilir ya da Facebook veya Instagram hesaplarını hacklemeyi deneyerek listede bulunan isimlerden para talep etmeye başlayabilir.

– "Kritik uygulamalar için ayrı birer parola, PIN veya grafik kilidi belirleyin"

Kaspersky, çalınması ihtimaline karşı akıllı telefonların nasıl güvenli bir şekilde kilitlenebileceğiyle ilgili şu önerilerde bulundu:

"Öncelikle, telefonunuzun ekranı otomatik olarak kilitlediğinden emin olun. SIM kartınız için bir PIN oluşturun. SIM bir PIN ile kitlenmediğinde, hırsızlar basit bir şekilde SIM'i başka bir telefona takabilir ve numaranızı öğrenmek için kendilerini arayabilir. Numaranızı öğrendiklerinde ise belirli internet sitelerinde oturum açıp iki faktörlü kimlik doğrulamasını geçebilir ve banka kartlarından para göndermek için kısa mesajları kullanabilirler. Bilgilerinizi koruyan başka bir özellik de Tam Disk Şifrelemesi'dir (FDE). Bu seçeneği etkinleştirdiğinizde, akıllı telefonunuzda depolanan tüm dosyalar varsayılan olarak şifrelenir ve telefon kilidini açmadan bu bilgileri okumanın bir yolu olmaz.

Kritik uygulamalar için ayrı birer parola, PIN veya grafik kilidi belirleyin. Ardından, başta kilit ekranında açılan uygulamalar olmak üzere bu uygulamalar için bildirimleri kapatın. Bildirimleri kapattığınızda uyarıları ve kısa mesajları okumak biraz daha zorlaşır. Ancak yabancıların tek kullanımlık kimlik doğrulama kodlarınızı görmesini veya paranızı başka bir hesaba göndermesini neredeyse imkansız hale getirir. Ne yazık ki, tüm üreticiler uygulama kilidi özelliğini sunmuyor. Ayarlarınızda bulamıyorsanız, çözümler için Google Play'i kontrol etmeyi deneyin veya bu özelliğe sahip olan Kaspersky Internet Security for Android'i yükleyin. Verilerinizi düzenli olarak yedeklediğinizde, telefonunuzu tamamen kaybetseniz bile, kişilerinizi ve diğer bilgilerinizi kaybetmezsiniz. Bunun için, verilerinizin yedekleme kopyasını yeni cihazınıza indirmeniz yeterlidir. Cihazımı Bul (Android) ve iPhone’umu Bul (iOS) özellikleri, kaybolan veya çalınan bir akıllı telefonun konumunu Google veya Apple ID hesabı üzerinden izleyebilmenizi sağlar. Bu özellikleri hem cihazınızı uzaktan kilitlemek hem de cihazınızdaki tüm verileri tamamen silmek için kullanabilirsiniz. Ancak bu özelliklerin, cihaz çalındığında veya kaybolduğunda etkin olması gerekir."

İSTANBUL (AA) – Kaspersky uzmanları, kullanıcıların kimlik bilgilerini çalmak için tasarlanmış 2020 Tokyo Yaz Olimpiyatları ile ilgili kimlik avı web sitelerini analiz etti.

Kaspersky açıklamasına göre, 2020 Tokyo Yaz Olimpiyatları 23 Temmuz 2021'de başladı. Bu kez tüm etkinliklerin seyircisiz gerçekleşecek oluşu, sağlık ve siber güvenlik açısından fiziksel riskleri azaltıyor. Ancak spor tutkunları, siber suçluların çeşitli çevrimiçi dolandırıcılık düzenlerini devreye alarak taraftarların Olimpiyat Oyunları'nı izleme isteğinden yararlanmayı hedefleyeceği unutulmamalı.

Dolandırıcıların izleyicilerin ilgisinden nasıl para kazanmaya çalıştıklarına dair genel bir bakış elde etmek için Kaspersky uzmanları, kullanıcıların kimlik bilgilerini çalmak için tasarlanmış olimpiyat ile ilgili kimlik avı web sitelerini analiz etti.

Araştırmacılar bu sırada çeşitli olimpiyat etkinliklerini yayınlamayı, seyircisi olmayan müsabakalar için bilet satmayı, çeşitli hediyeleri ve hatta sahte Olimpiyat Oyunları sanal para birimini vadeden sayfalarla karşılaştı.

Daha fazla seyircinin stadyumlardan çevrim içi ortama geçmesiyle, Kaspersky uzmanları Olimpiyat Oyunları'nı yayınlamayı teklif eden çeşitli kimlik avı sayfaları buldu.

Bazıları izlemeden önce ziyaretçilerden kayıt olmalarını istiyor. Genellikle bu tür kimlik avı sayfalarında kullanıcı kimlik bilgilerini girdiğinde, farklı kötü amaçlı dosyalar dağıtan bir sayfaya yönlendiriliyorlar. Bu tür dosyalar aracılığıyla cihazlarına kötü amaçlı yazılım yüklenmesinin yanı sıra, kullanıcılar kimlik bilgilerini güvenilmez kişilere göndermiş oluyor. Bundan sonra dolandırıcılar bu tür verileri kötü amaçlarla kullanmaya başlayabiliyor veya Dark Web'de satabiliyor.

Bu yıl hiçbir seyircili etkinlik olmamasına rağmen, dolandırıcılar çevrim dışı etkinlik biletleri satmak gibi bir şekilde hala etkili dolandırıcılık girişimlerini denemekten çekinmiyorlar. Kaspersky uzmanları bunun yanında önceden satın alınmış biletler için para iadesi sunan sayfalar da keşfetti.

Keşfedilen sayfaları inceleyen Kaspersky uzmanları, 2020 Tokyo Olimpiyatları için resmi web sitesini ve Uluslararası Olimpiyat Komitesi'ni taklit eden sayfalar gibi resmi sayfaların kılığında gizlenmiş kimlik avı sayfalarına dair örnekler buldu. Bunların bazıları kullanıcıların MS Hizmet kimlik bilgilerini topluyor.

Kaspersky uzmanları, Olimpiyat Oyunlarını izlemek için ideal büyük ekran TV'ler kazanmayı teklif eden kimlik avı sayfaları buldu. Bu oldukça popüler bir yöntem ve genellikle her kullanıcı şanslı kazanan oluyor. Talihlilerin sadece teslimat ücreti ödemesi yeterli. Söylemeye gerek yok, TV asla aldatılan kullanıcıya ulaşmıyor.

Kaspersky araştırmacıları, Olimpiyat sporcuları için destek fonu görüntüsündeki ilk sahte sanal para birimini buldu. Dolandırıcılar, kullanıcı parayı satın aldığında bu parayla dünya çapında finansal açıdan yardıma ihtiyacı olan yetenekli sporcuları desteklemeyi vadediyor.

– "Tıklamadan önce bağlantıyı kontrol edin"

Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Uzmanı Olga Svistiunova, siber suçluların, saldırıları için her zaman popüler spor olaylarını yem olarak kullandığını belirterek, "Bu yıl olimpiyatlar seyircisiz yapılıyor. Bu nedenle çok sayıda ilgili saldırı beklemiyoruz. Yine de suistimalcilerin avantaj elde etmek için yeni yollar yaratma konusunda bir sınırı olmadığını gözlemliyoruz. Örneğin bu yıl, Olimpiyat Oyunları Resmi Simgesi satan ilginç bir kimlik avı sayfası keşfettik. Böyle bir vaadin gerçek bir karşılığı yok. Bu da siber suçluların yalnızca halihazırda var olan yemleri taklit etmekle kalmayıp, aynı zamanda kendi fikirlerini de ortaya koyduklarını gösteriyor." ifadelerini kullandı.

Kaspersky uzmanları, olimpiyatlarla ilgili kimlik avından korunmak için şunları öneriyor:

"Tıklamadan önce bağlantıyı kontrol edin. Adresi ön izlemek için üzerine gelin ve yazım hatası veya diğer düzensizlikleri arayın. Kişisel verileri girmeden önce web sitelerinin gerçekliğini kontrol edin. Olimpiyat Oyunları’nı izlemek için yalnızca resmi web sayfalarını kullanın. URL biçimlerini ve şirket adı yazımlarını iki kez kontrol edin. Kötü amaçlı ekleri tanımlayan ve kimlik avı sitelerini engelleyen Kaspersky Security Cloud gibi güvenilir bir güvenlik çözümü kullanın."