Kaspersky, Itidalli Doğulu APT grubu DeftTorero’nun kullandığı kullanılmamış taktikleri ortaya çıkardı

Kaspersky araştırmacıları, 2021 yılının ortalarında “Volatile Cedar” yerine birlikte adlandırılan Orta Şark kaynaklı Ümranlı Temelli Gözdağı (APT) grubu DeftTorero tarafından gerçekleştirilen yeni tıpkı ofans dalgası keşfetti.

Kaspersky açıklamasına bakarak, ilk defa 2012’de belirleme edilen APT grubu hele Birleşik Gündüz Feneri Emirlikleri, Suudi Arabistan, Mısır, Kuveyt, Lübnan, Ürdün ve Türkiye’de amme, savunma, eğitim bilimi, kurumsal şirketler ve uz iletişim sektörlerini uğur alıyor.

Volatile Cedar, geçmişte alıngan bilgileri dercetmek için erişilebilir web sunucularına veya dahili sistemlere yerleştirilen Explosive adlı hususi hazırlanmış bir uzaktan muvasala Truva atı kullanıyordu.

APT grubu, boş yere özen çekmemek amacıyla hemen seçilmiş ayrımsız avuç hedefe saldırmayı tercih ediyordu. Kol internete zahir bire bir sunucunun kontrolünü ele geçirdiğinde parola haşiv veya baştan istimal üzere yöntemlerle türlü yollardan dahili ağa sızıyordu.

Kaspersky araştırmacıları, Lübnan asıllı olduğundan şüphelenilen Volatile Cedar’ı 2015’ten beri izliyor. Takım kendini sessize aldığından ve 2021’e büyüklüğünde yıpranmamış tıpkısı duyum veya sellemehüsselam methal bildirilmediğinden etraf Kaspersky uzmanları, tehdit aktörünün TTP’lerinde olası aynı değişiklikten şüpheleniyorlardı, yani dosyasız üzücü amaçlı yazılım kullandıklarını ve böylecene etkinliklerinin belirleme edilmesini engellediklerini düşünüyorlardı.

Kaspersky araştırmasının dahi gösterdiği üzere Volatile Cedar, tıpkı web kabuğu vermek üzere misyon web sunucusunda barındırılan bire bir dosya imla formundan ve/yahut web uygulamasındaki istek enjeksiyonuna cevaz veren asayiş açığından yararlanmış olabilir. Ayrıksı durumlarda şişman olasılıkla anonsör yöneticileri marifetiyle önceden yüklenen eklentilerden yararlanıldı ve ayrımsız kuruluştaki sistemlerden alınan anonsör etiket bilgileri, zehir gayeli komut dosyası yahut web kabuğu sakatlamak için Uzak Masaüstü Protokolü eliyle celse tahsis etmek üzere kullanıldı.

APT grubu, üzücü gayeli buyruk dosyasını yüklemenin tıpkı yolunu bulduğunda dahili sistemlere kopmak için ilişik vesait bırakmaya odaklandı. Kaspersky’nin izinsiz giriş analizi, dolgun kendisine dağıtılan az daha tamam web kabuklarının benzeri GitHub hesabından kaynaklandığını ve bunların evet olduğu gibi kullanıldığını ya bile biraz değiştirildiğini gösteriyor.

“APT gruplarının yıllarca fark edilmeden kalmanın üretken yollarını bulduğunu biliyoruz”

Açıklamada görüşlerine kayran sunulan Kaspersky GReAT Mümessil Güvenlik Araştırmacısı Ariel Jungheit, APT gruplarının yıllarca fark edilmeden kalmanın yaratıcı yollarını bulduğunu bildiklerini aktararak, şunları kaydetti:

“DeftTorero eskiden efdal düzeyde bire bir teknolojik yeteneğe ehil olmasa üstelik zaman şurası kanıtladı kim, meydanda kaynaklı araçlar, dosyasız saldırılar ve kurgu modifikasyonu bibi kurbanları muvaffakiyetli benzeri şekilde tuzağa düşürmek için kullanılıyor. APT grubu dal kapıları kullanarak yalnızca hedefine revan apışlık geçitlerini bulmakla kalmıyor, tıpkısı zamanda ayrıksı sunuculara atmak üzere de bunları kullanabiliyor. Bu çeşit saldırılar hızla geliştiğinden ve çoğu ant fark edilemediğinden er aşamalarda hafifletilmeleri ayrımsız zorunluluktur. Bu nedenle kuruluşların herkese kilitsiz küreksiz web uygulamalarından kaynaklanan güvenlik açıklarını ve web uygulamalarının dosya bütünlüğünü daim yerine izlemelerini tavsiye mektubu ediyoruz.”

Kuruluşların APT gruplarının tuzağına düşmemesi amacıyla Kaspersky araştırmacıları, web sunucularındaki dosya bütünlüğünün izlenmesi dahi dahil tutmak amacıyla web asayiş açıklarının şümullü aynı şekilde değerlendirilmesi gerektiğini öneriyor.

Kaspersky araştırmacıları, ara sıra web sunucusu yedeklerinin taranması gerektiğine işaret ederek, tehdit aktörünün araçlarından bazılarının yedeklere sızdığını, bu nedenle yedeklerin henüz sonraki bir aşamada anlayışsız yüklenmesi halinde zılgıt aktörünün baştan temelli muvasala kazanabildiğini ve kaldığı yerden işine bitmeme edebildiğini belirtiyor.

Kaspersky araştırmacıları, BT yöneticilerinin web uygulamaları, FTP sunucuları kabil herkese sarih atak odaklarının farkında olması gerektiğini vurguluyor.

Share: