D2 ve D3 2023’te ESET Research tarafından bazı APT gruplarının faaliyetleri hakkında yapılan araştırma ve analizlere genel bakış
ESET APT Faaliyet Raporu D2-D3 2023, ESET araştırmacıları tarafından Nisan 2023’ten Eylül 2023 sonuna kadar izlenen, incelenen ve analiz edilen belirli gelişmiş sürekli tehdit (APT) gruplarının etkinliklerini özetliyor. İzlenen zaman aralığında, APT gruplarının, devlet kurumlarından veya ilgili kuruluşlardan veri sızdırmak için bilinen güvenlik açıklarından yararlanan dikkate değer bir strateji izlediğini gözlemledik. Rusya bağlantılı Sednit ve Sandworm, Kuzey Kore bağlantılı Konni ve herhangi bir coğrafi bölgeyle ilişkilendirilemeyen Winter Vivern ve Sturgeon Phisher grupları, WinRAR (Sednit, SturgeonPhisher ve Konni), Roundcube (Sednit ve Winter Vivern), Zimbra (Winter Vivern) ve Windows için Outlook’un (Sednit) güvenlik açıklarından yararlanarak Ukrayna, Avrupa ve Orta Asya’daki çeşitli devlet kuruluşlarını hedef aldı. Çin bağlantılı tehdit aktörleriyle ilgili olarak, GALLIUM muhtemelen Microsoft Exchange sunucularındaki veya IIS sunucularındaki zayıflıklardan yararlanarak hedefini telekomünikasyon operatörlerinden dünya çapındaki devlet kuruluşlarına kadar genişletti. Muhtemelen, MirrorFace Proself online depolama hizmetindeki güvenlik açıklarından TA410 ise Adobe ColdFusion uygulama sunucusundaki açıklardan yararlandı.
İran ve Orta Doğu bağlantılı gruplar, öncelikli olarak İsrail’deki kuruluşlardan casusluk ve veri hırsızlığına odaklanarak yüksek hacimde faaliyetlerini sürdürdü. Özellikle İran’a bağlı MuddyWater’ın Suudi Arabistan’daki kimliği belirsiz bir kuruluşu da hedef alması, bu tehdit aktörünün daha gelişmiş bir grup için erişim geliştirme ekibi olarak hizmet etme olasılığını akla getiriyor.
Rusya bağlantılı grupların ana hedefi, hepsi Sandworm tarafından kullanılan, mevcut RoarBat ve NikoWiper silicilerinin yeni versiyonlarını ve SharpNikoWiper adını verdiğimiz yeni bir siliciyi keşfettiğimiz Ukrayna oldu. İlginç bir şekilde, Gamaredon, GREF ve SturgeonPhisher gibi diğer gruplar bilgi veya en azından Telegram ile ilgili bazı meta verileri sızdırmak için Telegram kullanıcılarını hedeflerken, Sandworm bu hizmeti aktif ölçüm amaçları için sürekli kullanıyor ve siber sabotaj operasyonlarının reklamını yapıyor. Ancak Ukrayna’daki en aktif grup, mevcut araçları yeniden geliştirip yenilerini devreye sokarak veri toplama yeteneklerini önemli ölçüde artıran Gamaredon’dur.
Kuzey Kore bağlantılı gruplar, dikkatle seçtikleri hedeflere yönelik kimlik avı e-postaları kullanarak Japonya, Güney Kore ve Güney Kore odaklı kuruluşları hedeflemeye devam etti. Gözlemlenen en aktif Lazarus planı, hedefi bol kazançlı pozisyonlar için sahte iş teklifleriyle cezbeden DreamJob Operasyonuydu. Bu grup, tüm büyük masaüstü platformlar için kötü amaçlı yazılım oluşturma yeteneğini sürekli olarak gösterdi. Son olarak araştırmacılarımız, daha önce tanımlanamayan Çin bağlantılı üç grubun operasyonlarını ortaya çıkardı: AB’deki bir hükumet kuruluşunu defalarca tehlikeye atan DigitalRecyclers, ortadaki düşman saldırılarını yürüten TheWizards ve AB’deki başka bir hükumet kuruluşunu hedef alan PerplexedGoblin.
ESET APT Faaliyet Raporu D2-D3 2023’te açıklanan kötü amaçlı faaliyetler ESET ürünleri tarafından algılanır; paylaşılan istihbarat çoğunlukla tescilli ESET telemetrisine dayanır ve ESET Research tarafından doğrulanmıştır.
Bu raporda açıklanan APT gruplarından etkilenen ülkeler, bölgeler ve sektörler şunlardır:
Hedef ülkeler ve bölgeler:
- Ermenistan
- Bangladeş
- Çin
- Orta Asya
- Hırvatistan
- Çekya
- Avrupa Birliği
- Fransız Polinezyası
- Yunanistan
- Guyana
- Hong Kong
- İsrail
- Japonya
- Kuveyt
- Mali
- Pakistan
- Filipinler
- Polonya
- Suudi Arabistan
- Sırbistan
- Slovakya
- Güney Kore
- Tacikistan
- Türkiye
- Ukrayna
- Birleşik Arap Emirlikleri
- Amerika Birleşik Devletleri
- Uygurlar ve diğer Türk kökenli etnik azınlıklar
Hedef iş kolları:
- Bahis şirketleri ve müşterileri
- Hükumet organizasyonları ve kurumları
- Sunucu sağlayıcıları
- Endüstriyel ağlar
- BT firmaları
- Yerel hükumetler ve kuruluşlar
- Medya kuruluşları
- Siyasi oluşumlar
- Özel şirketler
- Kuzey Kore alanında uzmanlaşmış akademisyenler ve gazeteciler
- Araştırma enstitüleri
- Telekomünikasyon operatörleri
- Üniversiteler
ESET APT Faaliyet Raporları, ESET APT Raporları PREMIUM müşterilerine sağlanan siber güvenlik istihbarat verilerinin yalnızca bir bölümünü içerir. Daha fazla bilgi için ESET Threat Intelligence web sitesini ziyaret edin.
ESET APT Faaliyet Raporu D2-D3 2023
