Kaspersky araştırmacıları, 2021 yılının ortalarında ‘Volatile Cedar’ olarak da isimlendirilen Orta Doğu kaynaklı Gelişmiş Kalıcı Tehdit (APT) kümesi DeftTorero tarafından gerçekleştirilen yeni bir hücum dalgası keşfetti. Birinci defa 2012’de tespit edilen APT kümesi bilhassa Birleşik Arap Emirlikleri, Suudi Arabistan, Mısır, Kuveyt, Lübnan, Ürdün ve Türkiye’de kamu, savunma, eğitim, kurumsal şirketler ve telekomünikasyon kesimlerini maksat alıyor.
Volatile Cedar geçmişte hassas bilgileri toplamak için erişilebilir web sunucularına yahut dahili sistemlere yerleştirilen Explosive isimli özel hazırlanmış bir uzaktan erişim Truva atı kullanıyordu. APT kümesi gereksiz yere dikkat çekmemek için sırf seçilmiş bir avuç maksada saldırmayı tercih ediyordu. Küme internete açık bir sunucunun denetimini ele geçirdiğinde, parola doldurma yahut tekrar kullanma üzere sistemlerle çeşitli yollardan dahili ağa sızıyordu.
Kaspersky araştırmacıları, Lübnan kökenli olduğundan şüphelenilen Volatile Cedar’ı 2015’ten beri izliyor. Küme kendini sessize aldığından ve 2021’e kadar yeni bir istihbarat yahut müsaadesiz giriş bildirilmediğinden ötürü Kaspersky uzmanları, tehdit aktörünün TTP’lerinde mümkün bir değişiklikten şüpheleniyorlardı. Yani belgesiz berbat gayeli yazılım kullandıklarını ve böylelikle etkinliklerinin tespit edilmesini engellediklerini düşünüyorlardı.
Kaspersky araştırmasının da gösterdiği üzere Volatile Cedar, bir web kabuğu yüklemek için maksat web sunucusunda barındırılan bir evrak yükleme formundan ve/veya web uygulamasındaki komut enjeksiyonuna müsaade veren güvenlik açığından yararlanmış olabilir. Öteki durumlarda büyük olasılıkla sunucu yöneticileri tarafından evvelce yüklenen eklentilerden yararlanıldı ve birebir kuruluştaki sistemlerden alınan sunucu kimlik bilgileri, makus emelli komut belgesi yahut web kabuğu dağıtmak için Uzak Masaüstü Protokolü aracılığıyla oturum açmak için kullanıldı. APT kümesi, berbat hedefli komut belgesini yüklemenin bir yolunu bulduğunda, dahili sistemlere sızmak için ek araçlar bırakmaya odaklandı. Kaspersky’nin müsaadesiz giriş tahlili, toplu olarak dağıtılan neredeyse tüm web kabuklarının bir GitHub hesabından kaynaklandığını ve bunların ya olduğu üzere kullanıldığını, ya da biraz değiştirildiğini gösteriyor.
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Ariel Jungheit, şunları söylüyor: “APT kümelerinin yıllarca fark edilmeden kalmanın yaratıcı yollarını bulduğunu biliyoruz. DeftTorero geçmişte yüksek seviyede bir teknolojik yeteneğe sahip olmasa da vakit şunu kanıtladı ki, açık kaynaklı araçlar, belgesiz hücumlar ve araç modifikasyonu hala kurbanları başarılı bir halde tuzağa düşürmek için kullanılıyor. APT kümesi art kapıları kullanarak sırf gayesine giden ağ geçitlerini bulmakla kalmıyor, birebir vakitte öbür sunuculara bağlanmak için de bunları kullanabiliyor. Bu tıp ataklar süratle geliştiğinden ve birden fazla vakit fark edilemediğinden, erken kademelerde hafifletilmeleri bir zorunluluktur. Bu nedenle kuruluşların herkese açık web uygulamalarından kaynaklanan güvenlik açıklarını ve web uygulamalarının evrak bütünlüğünü daima olarak izlemelerini tavsiye ediyoruz.”
Kuruluşların APT kümelerinin tuzağına düşmemesi için Kaspersky araştırmacıları şunları öneriyor:
- Web sunucularındaki evrak bütünlüğünün izlenmesi de dahil olmak üzere web güvenlik açıklarını kapsamlı bir formda değerlendirin.
- Arada bir web sunucusu yedeklerini tarayın. Tehdit aktörü araçlarından kimileri yedeklere sızar. Bu nedenle yedekler daha sonraki bir kademede geri yüklenirse, tehdit aktörü yine kalıcı erişim kazanabilir ve kaldığı yerden işine devam edebilir.
- BT yöneticileri; web uygulamaları, FTP sunucuları üzere herkese açık akın odaklarının farkında olmalıdır.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
