Siber güvenlik şirketi ESET, ESET araştırmacıları tarafından Ekim 2022’den Mart 2023’ün sonuna kadar izlenen, araştırılan ve analiz edilen gelişmiş kalıcı tehdit (APT) kümelerinin faaliyetlerini özetleyen APT Yıllık Raporunu yayınladı.
Bu dönemde 6 aylık periyotlar halinde yayınlanan raporda, Ke3chang ve Mustang Panda gibi Çin bağlantılı tehdit aktörleri olan Avrupalı şirketlere odaklanıldı. İsrail’de, İran’a bağlı kümelenme, OilRig, yeni bir özel afterdoor konuşlandırdı. Kuzey Kore ile ilgili kümeler, Güney Kore’deki ve Güney Kore ile ilgili şirketlere odaklanmaya devam etti. Rusya ile temas halinde olan APT kümeleri özellikle Ukrayna ve AB ülkelerinde aktifti. Sandworm yüklü silecekler.
ESET APT Yıllık Raporunda tanımlanan kötü niyetli faaliyetler, ESET teknolojisi tarafından algılanır. ESET Tehdit Araştırma Müdürü Jean-Ian Boutin şunları söyledi: “ESET ürünleri, müşterilerimizin sistemlerini bu raporda belirtilen kötü niyetli faaliyetlere karşı koruyor. Burada paylaşılan bilgiler çoğunlukla tescilli ESET telemetrisine dayanmaktadır ve ESET Research tarafından doğrulanmıştır.”
Mustang Panda iki yeni afterdoor kullanırken Çin’e bağlı Ke3chang yeni bir Ketrican varyantı dağıtmaya çalıştı. MirrorFace Japonya’yı hedef alıp yeni kötü amaçlı yazılım dağıtım yaklaşımları uygularken, ChattyGoblin Operasyonu takviye ajanları hedef alarak Filipinler’deki bir kumar şirketini devraldı. Hindistan’a bağlı kümeler SideWinder ve Donot Team, Güney Asya’daki devlet kurumlarını hedef almaya devam ederken, SideWinder Çin’deki eğitim sektörünü hedef aldı ve Donot Team, kötü şöhretli yty çerçevesini ve ayrıca piyasadaki Remcos RAT’ı geliştirmeye devam etti. görevlendirildi. Ayrıca ESET, Güney Asya’da çok sayıda Zimbra web postası kimlik avı girişimi tespit etti.
Kuzey Kore bağlantılı bir grup olan Lazarus, Boeing içeriğine sahip sahte bir iş teklifiyle Polonya’daki bir savunma şirketinin çalışanlarını hedeflemenin yanı sıra, her zamanki hedeflerinden farklı olarak Accenture tabanlı bir tuzak kullanarak Hindistan’daki bir veri yönetimi şirketine de odaklandı. . Ayrıca ESET, kampanyalarından birinde kullandıkları kötü amaçlı bir Linux tespit etti. Bu yeni keşfedilen kötü amaçlı yazılımla olan benzerlikler, kötü şöhretli Kuzey Kore iletişim kümesinin 3CX tedarik zinciri saldırısının arkasında olduğu teorisini destekliyor.
Rusya ile bağlantılı APT kümeleri özellikle Ukrayna ve AB ülkelerinde aktifti. Bu kümeler, siliciyi yükleyen Sandworm’u (ESET’in SwiftSlicer olarak adlandırdığı başka bir yeni) ve ayrıca yanıltıcı kimlik avı e-postaları gönderen Gamaredon, Sednit ve Dukes’u kullandı. Bunun bir örneğini Dukes’da olduğu gibi Brute Ratel olarak bilinen kırmızı takım implant uygulamasında görmekteyiz. Son olarak ESET, daha önce bahsettiğimiz Zimbra e-posta platformunun Avrupa’da aktif bir küme olan Winter Vivern tarafından da suistimal edildiğini ve amacı ile Orta Asya ülkelerinin hükümet üyelerini hedef alan SturgeonPhisher kümesinin etkinliğinde değerli bir azalma olduğunu tespit etti. oltalama e-postaları oluşturdu. kaydedildi. Bu algılamanın ardından ESET, kümenin kendini yenileme durumuna girdiğini düşünür.
Kaynak: (BYZHA) Beyaz Haber Ajansı
