Kaspersky, Evasive Panda adlı tehdit aktörünün gerçekleştirdiği sofistike siber casusluk kampanyasına ilişkin yeni bulgularını kamuoyuyla paylaştı. Saldırganların, zararlı yazılımları meşru sistem süreçlerine enjekte ederek çalıştırdığı ve ele geçirilen sistemlerde uzun süre fark edilmeden kalmayı başardığı tespit edildi. Kasım 2022 ile Kasım 2024 arasında aktif olan operasyon kapsamında Türkiye, Çin ve Hindistan’daki sistemler hedef alındı; bazı enfeksiyonların bir yılı aşkın süre devam ettiği belirlendi. Bu durum, grubun sürekli gelişen taktikleri ve hedef ağlarda uzun vadeli sızma konusundaki kararlılığını gösteriyor.

Saldırılarda, SohuVA, iQIYI Video, IObit Smart Defrag ve Tencent QQ gibi popüler Windows uygulamalarına ait yazılım güncellemeleri gibi görünen aldatıcı tuzaklar kullanıldı. Sahte güncelleyiciler, güvenilir yazılımlarla uyumlu olacak şekilde tasarlanarak saldırganların kötü amaçlı faaliyetleri ilk aşamada fark edilmeden başlatmasına olanak sağladı. Ayrıca saldırganlar, DNS zehirleme yöntemiyle zararlı bir bileşeni kendi sunucularından dağıttı ve bu bileşenin popüler ve meşru bir internet sitesinde barındırılıyormuş izlenimi vermesini sağladı.

Kampanyanın merkezinde, Evasive Panda tarafından en az 2012’den beri siber casusluk amacıyla kullanılan, on yılı aşkın geçmişe sahip modüler zararlı yazılım çerçevesi MgBot yer alıyor. Tuş kaydı alma, dosya hırsızlığı ve komut çalıştırma gibi işlevlere sahip eklentiler içeren MgBot, 2022–2024 dönemindeki saldırılar kapsamında yeni yapılandırmalarla güncellendi. Bu güncellemeler arasında, saldırıların kesintisiz devamını ve uzun süreli erişimi sağlamak için birden fazla komuta-kontrol (C2) sunucusunun devreye alınması da bulunuyor.

Kaspersky güvenlik uzmanı Fatih Sensoy, konuyla ilgili olarak şunları söyledi: “Bu kampanya, saldırganların savunma mekanizmalarından kaçınma çabalarını ve MgBot gibi kanıtlanmış araçları yeniden kullanma stratejilerini açıkça ortaya koyuyor. İki yıl süren bu operasyon, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı yansıtıyor. Özellikle dikkat çeken nokta, implantların sunucu tarafında işletim sistemi ortamına özel olarak uyarlanması; bu da son derece hedefli bir casusluk faaliyetine olanak tanıyor. Kurumların bu tür uzun soluklu kampanyalara karşı tehdit istihbaratına dayalı proaktif güvenlik önlemleri alması büyük önem taşıyor.”

Kaspersky, kurumları ve bireysel kullanıcıları bu ve benzeri tehditlere karşı dikkatli olmaya çağırıyor. Araştırma kapsamında Kaspersky’nin önerileri şöyle sıralanıyor:

  • Yazılım güncellemeleri sürecinde çok faktörlü kimlik doğrulamanın uygulanması ve güncelleme paketlerinin; beklenmeyen dosya konumlandırmaları veya bilinen zararlı şablonlarla kod benzerlikleri gibi anomalilere karşı uç nokta algılama ve yanıt (EDR) çözümleriyle detaylı incelenmesi.
  • Ortadaki Adam (Adversary-in-the-Middle – AitM) saldırılarına yönelik göstergelerin tespiti için ağ izleme yetkinliklerinin güçlendirilmesi; DNS yanıtları ve ağ trafiğinin zehirleme veya müdahale belirtileri açısından düzenli olarak denetlenmesi.
  • Kullanıcıların, güvenilir tedarikçilerden geliyormuş gibi görünen sahte güncelleme temalı oltalama (phishing) girişimlerini ayırt edebilmeleri için farkındalık ve eğitim çalışmalarının artırılması.
  • Bireysel kullanıcıların ise güvenilir ve kendini kanıtlamış koruma çözümleri kullanarak sistemlerinde proaktif zararlı yazılım taramaları gerçekleştirmesi.

Detaylı bilgilere ilgili link üzerinden ulaşılabilir.

Kaynak: (BYZHA) Beyaz Haber Ajansı