Site icon Şirket Haber

GhostEmperor: Çince konuşan APT, bilinmeyen bir rootkiti kullanarak yüksek profilli kurbanları hedefliyor

GhostEmperor: Çince konuşan APT, bilinmeyen bir rootkiti kullanarak yüksek profilli kurbanları hedefliyor

Gelişmiş kalıcı tehdit (APT) aktörleri, saldırılarını gerçekleştirmek için sürekli olarak yeni, daha karmaşık yollar arıyor. Kaspersky araştırmacıları, APT gruplarının araç setlerini nasıl yenilediğini ve güncellediğini sürekli izliyor. Kaspersky’nin üç aylık raporuna göre tehdit ortamı, 2021’in ikinci çeyreğinde Microsoft Exchange sunucularına yönelik saldırılarda bir artışa sahne oldu. En son APT 2021 Raporunda Kaspersky, Microsoft Exchange güvenlik açıklarını kullanan, uzun süredir devam eden benzersiz bir operasyon olan ‘GhostEmperor’un ayrıntılarını ortaya koydu. Gelişmiş bir araç setiyle yüksek profilli kurbanları hedefleyen bu saldırının bilinen herhangi bir tehdit aktörüne yakınlığı yok.

 

GhostEmperor, Kaspersky araştırmacıları tarafından keşfedilen, Çince konuşan bir tehdit aktörü. Çoğunlukla devlet kurumları ve telekom şirketleri başta olmak üzere Güneydoğu Asya’daki hedeflere odaklanıyor.

 

Bu aktör, önceden bilinmeyen bir Windows çekirdek modu kök dizini (rootkit) kullanmasıyla öne çıkıyor. Kök dizinleri, hedefledikleri sunucular üzerinde uzaktan kontrol erişimi sağlıyor, gizlice hareket ediyor e bu sayede araştırmacılardan ve güvenlik çözümlerinden saklanabiliyor. Windows Sürücü İmza Uygulama mekanizmasını atlamak için GhostEmperor, “Cheat Engine” adlı açık kaynaklı bir projenin bileşenini içeren bir yükleme şeması kullanıyor. Kaspersky araştırmacıları bu benzersiz ve gelişmiş araç setinin bilinen tehdit aktörleriyle hiçbir benzerlik göstermediğini ifade ediyor. Kaspersky uzmanları, bu araç setinin Temmuz 2020’den beri kullanıldığını tahmin ediyor.

 

Kaspersky Güvenlik Uzmanı David Emm, şunları söylüyor: “Tespit ve koruma teknikleri geliştikçe APT aktörleri de gelişiyor. Bunlar genellikle araç setlerini yeniliyor ve güncelliyor. GhostEmperor, siber suçluların yeni tekniklerden yararlanmak için yeni güvenlik açıklarını nasıl aradıklarının açık bir örneği. Daha önce bilinmeyen, gelişmiş bir rootkit kullanarak, Microsoft Exchange sunucularına karşı zaten iyi kurgulanmış olan saldırı tekniğine yeni bir açılım getirdiler.”

 

Kaspersky uzmanları, Microsoft Exchange sunucularına yönelik saldırıların artmasının yanı sıra, 2. çeyrekte APT ortamında aşağıdaki eğilimleri de vurguluyor:

 

GhostEmperor ve çeyreğin diğer önemli keşifleri hakkında daha fazla bilgi edinmek için Securelist’teki APT Trendleri 2021 2. Çeyrek Raporunu okuyabilirsiniz. Rapor, Kaspersky’nin adli tıp ve kötü amaçlı yazılım avcılığına yardımcı olmak için Uzlaşma Göstergeleri (IoC) verilerini ve YARA kurallarını da içeren, yalnızca abonelere yönelik tehdit istihbarat raporlarının bulgularını özetlemektedir. Daha fazla bilgi için intelreports@kaspersky.com ile iletişime geçebilirsiniz.

 

Bilinen veya bilinmeyen bir tehdit aktörü tarafından hedefli bir saldırının kurbanı olmaktan kaçınmak için Kaspersky araştırmacıları aşağıdaki önlemlerin uygulanmasını öneriyor:

Exit mobile version