Kaspersky araştırmacıları, geçtiğimiz günlerde Kazakistan’ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde, Orta Doğu ve Türkiye’de on yılı aşkın süredir aktif olan OilRig Gelişmiş Kalıcı Tehdit (APT) grubu tarafından geliştirildiği düşünülen yeni bir kötü amaçlı yazılımın bir dizi saldırı gerçekleştirdiğini duyurdu.
Grup, Orta Doğu, Türkiye ve Afrika’daki yüksek profilli devlet kurumlarını siber casusluk amacıyla hedef almasıyla tanınıyor.
OilRig APT, genellikle sosyal mühendislik taktiklerini kullanarak kurbanlarının yazılım ve teknik konulardaki açıklarından faydalanıyor. Bununla birlikte Kaspersky uzmanları, grubun araç setini güncellediğini ve üçüncü parti BT şirketleri aracılığıyla hedeflerine sızmak için ısrarcı ve daha gizli yollara başvurduğunu fark etti.
Kaspersky uzmanları, 2022’nin sonlarında başlayan ve devam eden bir araştırma sırasında APT grubunun bölgedeki BT şirketlerinin terminal sunucularına erişmek için PowerShell komut dosyaları çalıştırdığını ve hedefleri hakkında kimlik bilgileri ve hassas veriler topladığını keşfetti. Grup çalınan bilgileri hedeflerine sızmak, Komuta ve Kontrol (C2) iletişimleri gerçekleştirmek ve veri sızdırmak amacıyla Microsoft Exchange Web Hizmetlerine dayanan kötü amaçlı yazılım örneklerini dağıtmak için kullandı. İncelenen kötü amaçlı yazılımın, söz konusu tehdit aktörü tarafından kullanılan eski bir kötü amaçlı yazılımın varyantı olduğu görüldü.
Grup, sürekli ve gizli erişim sağlamak için yerel etki alanı parola değişikliklerinin engellenmesini sağlayan yeni bir DLL tabanlı parola filtresi kullandı. Bu sayede saldırganlar, hedeflerin e-posta hizmetleri üzerinden saldırganların kontrolündeki Protonmail ve Gmail adreslerine gönderilen mesajlar aracılığıyla hassas verilerle birlikte güncellenmiş şifreleri de çalmayı başardı.
Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamout, şunları söyledi: ” Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde duyurduğumuz gibi OilRig, üçüncü parti bilişim şirketlerini istismar etmek için kullandığı karmaşık ve büyük ölçüde değiştirilmiş taktik, teknik ve prosedürlerle ‘gizli mod’ kavramını bir üst seviyeye taşıdı. Araştırmalarımız, üçüncü parti saldırılarının diğer taktiklere kıyasla daha gizli, çevik ve tespit edilmeden kaldığını ve bu bölgedeki devlet kurumlarının işleyişi için ciddi risk oluşturduğunu ortaya koyuyor. Tedarik zincirinin bir parçası olan BT şirketlerine sızmaya yönelik bu radikal değişim, bölgesel devlet kurumlarının siber güvenlik oyunlarını hızlandırdığının ve APT gruplarını kalıpların dışında düşünmeye ittiğinin bir göstergesi niteliğinde.”
Kaspersky araştırmacıları, devletlere ve işletmelere aşağıdaki ipuçlarını takip etmelerini ve kendilerini üçüncü taraf tedarik zinciri saldırılarının kurbanı olmaktan korumalarını öneriyor:
- Kurumunuzun sınırlarının ötesindeki veri ve varlıklarını da koruyan bütünsel, iyi entegre edilmiş bir siber güvenlik yaklaşımına yatırım yapın.
- Tehdit İstihbaratından yararlanmak çok önemlidir. Kaspersky Threat Intelligence Portal gibi çözümleri kullanmak, BT ekiplerinizi gerçek zamanlı veriler ve içgörülerle donatabilir ve güçlü bir savunma oluşturmak için zengin bir uzmanlık kaynağına erişim sağlayabilir.
- Kurumunuz içinde bir sızma testi yapın ve üçüncü parti hizmet sağlayıcılarınızı bunun dışında bırakmayın.
- Siber savunmanız, ancak ilk savunma hattı olarak kabul edilen çalışanlarınız kadar güçlüdür. Her büyüklükteki şirket için siber farkındalık eğitimini otomatikleştiren Kaspersky Automated Security Awareness Platform gibi çözümlerle onları doğru bilgilerle donatın
- Verilerinizi düzenli olarak yedekleyin ve zaman zaman bütünlüğünü kontrol edin.