Çin devlet destekli siber grup APT40, sekiz ülkeden istihbarat ve siber güvenlik kurumları tarafından yayınlanan bir duyuruda, yaygın olarak kullanılan yazılımlardaki güvenlik açıkları için kamuya açık kavram kanıtı (PoC) istismarlarını inanılmaz derecede hızlı bir şekilde uyarlıyor.
Kryptonite Panda ve Gingham Typhoon olarak da bilinen ve Çin Devlet Güvenlik Bakanlığı tarafından desteklendiği düşünülen grubun, “kamuoyuna duyurulduktan birkaç saat veya gün sonra yeni yüksek profilli güvenlik açıklarını tespit etmek için POC’leri kullanma” şeklinde bu işleyiş biçimini sürdürmesi bekleniyor.
APT40 kuruluşları nasıl tehlikeye atıyor?
APT 40’ın “kimlik avı kampanyaları gibi kullanıcı etkileşimi gerektiren teknikler yerine savunmasız, kamuya açık altyapıları istismar etmeyi tercih ettiği” ve Log4J, Atlassian Confluence ve Microsoft Exchange gibi yazılımlardaki güvenlik açıklarını istismar ettiği bilinmektedir.
Onlar düzenli olarak:
- Hedef ağlarda kalıcılığı güvence altına almak (ve onlarla etkileşim kurmak için web servislerini, web ve posta protokollerini kullanmak)
- Keşif için sistem komutlarını ve geçerli kimlik bilgilerini tehlikeye atmak için çeşitli yöntemleri kullanın
- Yatay hareket için RDP ve SMB/Windows Paylaşımları dahil olmak üzere uzak hizmetleri kullanın
- Hedeflerin savunmalarını zayıflatın, faaliyetlerini maskeleyin ve tehlikeye dair göstergeleri ortadan kaldırın
Kurumlar, “İhlalin erken aşamalarında kalıcılık meydana geldiğinden, ihlalin kapsamı veya alınan diğer önlemler ne olursa olsun, tüm ihlallerde görülme olasılığı daha yüksektir” diye belirtti.
İşletme savunucularına tavsiyeler
Güvenlik duyurusunda, APT40’ın iki başarılı saldırısını araştırmaya yardımcı olan güvenlik uzmanlarının yer aldığı Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi tarafından hazırlanan iki anonim soruşturma raporu da yer alıyor.
Raporlarda, siber casusluğa odaklanan tehdit aktörünün kullandığı çeşitli araçlar, taktikler ve teknikler vurgulanıyor. Bunlar arasında ayrıcalıklı hesaplara ait kimlik bilgilerini ele geçirme eğilimi ve saldırılar için başlangıç noktası olarak kullanım ömrü dolmuş (EOL) veya yama uygulanmamış küçük ofis/ev ofis (SOHO) cihazlarını kullanma eğilimi yer alıyor.
(Mandiant’ın tehdit analistleri daha önce kayıt edilmiş Çin destekli APT’lerin artan kullanımı proxy ağları (Sanal özel sunucular, tehlikeye atılmış yönlendiriciler ve Nesnelerin İnterneti cihazlarından oluşan ve tespit edilmekten kaçınmak ve atıfları karmaşıklaştırmak için kullanılan bir araçtır.)
Tavsiyede, bu ve diğer saldırıların engellenmesi ve kapsamının sınırlandırılmasına yönelik hafifletici tedbirler yer alıyor ve şunlar yer alıyor:
- Kapsamlı günlük kaydı (tespit ve soruşturmaya yardımcı olmak için)
- İnternete bakan altyapıdaki güvenlik açıklarının derhal kapatılması
- Ağ segmentasyonu
- Kullanılmayan veya gereksiz ağ servislerinin, portların ve protokollerin devre dışı bırakılması
- Sunuculara, dosya paylaşımlarına ve diğer kaynaklara erişimi sınırlamak için çok faktörlü kimlik doğrulamanın (MFA) kullanılması ve en az ayrıcalığın uygulanması
- EOL ekipmanının değiştirilmesi
- Web sunucularını ve uygulamaları korumak için iyi ayarlanmış web uygulama güvenlik duvarlarının (WAF’ler) kullanılması
Ayrıca kuruluşların olası tehlike göstergelerini tespit etmek için kullanabileceği birkaç Sigma kuralı da vardır.
“[APT40] Ajanslar, “Daha önce Avustralya ve ABD de dahil olmak üzere çeşitli ülkelerdeki örgütleri hedef aldı ve aşağıda vurgulanan teknikler, küresel çapta diğer ÇHC devlet destekli aktörler tarafından düzenli olarak kullanılıyor” dedi.
0 Yorumlar