Dijital güvenlik şirketi ESET, Ekim 2023'ten Mart 2024 sonuna kadar ESET araştırmacıları tarafından belgelenen seçilmiş gelişmiş kalıcı tehdit (APT) gruplarının dikkate değer faaliyetlerini özetleyen en son APT Faaliyet Raporu'nu yayımladı.
Rapora göre, Kuzey Kore'ye bağlı gruplar havacılık ve savunma şirketleri ile kripto para sektörünü hedef almaya devam etti. Rusya'ya bağlı gruplar, faaliyetlerini Avrupa Birliği içinde casusluk ve Ukrayna'ya yönelik saldırılara odakladı. Öte yandan, Çin'e bağlı bazı tehdit aktörleri, VPN'ler ve güvenlik duvarları gibi kamuya açık cihazlardaki ve Confluence ve Microsoft Exchange Server gibi yazılımlardaki güvenlik açıklarından yararlanarak birden fazla sektördeki hedeflere ilk erişimi sağladı.
ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin "Kampanyaların çoğunun hedefi devlet kurumları ve belirli dikey sektörler: Örneğin, Ukrayna altyapısına yönelik sürekli ve aralıksız saldırılarda hedef alınanlar. Avrupa, çeşitli tehdit aktörlerinden gelen daha çeşitli saldırılara maruz kaldı. Rusya'ya bağlı gruplar, Çin'e bağlı tehdit aktörlerinin de istikrarlı bir varlık gösterdiği Avrupa Birliği'nde casusluğa odaklanmayı güçlendirdi ve bu da hem Rusya'ya hem de Çin'e bağlı grupların Avrupa meselelerine olan ilgisinin devam ettiğini gösteriyor." dedi.
ESET Research, Çinli güvenlik hizmetleri şirketi I-SOON'dan (Anxun) gelen veri sızıntısına dayanarak, bu Çinli şirketin gerçekten de siber casusluk yaptığını doğrulayabilir. ESET, şirketin faaliyetlerinin bir bölümünü FishMonger grubu altında izliyor. Bu son raporda ESET, benzersiz özellikleriyle öne çıkan ancak dijital ayak izi açısından Mustang Panda grubuyla bağlantılı olması muhtemel CeranaKeeper adlı yeni bir Çin bağlantılı APT grubunu da tanıtıyor.
İran'a bağlı tehdit grupları söz konusu olduğunda, MuddyWater ve Agrius daha önce odaklandıkları siber casusluk ve fidye yazılımlarından sırasıyla erişim aracılığı ve etkili saldırıları içeren daha agresif stratejilere geçiş yaptı. Bu arada, OilRig ve Ballistic Bobcat faaliyetlerinde bir gerileme görüldü ve bu da İsrail'i hedef alan daha dikkat çekici, "daha yüksek sesli" operasyonlara doğru stratejik bir kayma olduğunu gösteriyor.
Rusya'ya bağlı faaliyetlerle ilgili olarak, ESET araştırmacıları tarafından ortaya çıkarılan bir dezenformasyon ve psikolojik operasyon (PSYOP) olan Texonto Operasyonu kampanyası, Rusya seçimleriyle ilgili protestolar ve Ukrayna'nın doğusunda bulunan Kharkiv metropolündeki durum hakkında yanlış bilgiler yayarak yurt içinde ve yurt dışında Ukraynalılar arasında belirsizliği artırıyor.
Raporda ayrıca ESET'in Belarus'un çıkarlarıyla uyumlu olduğunu düşündüğü Winter Vivern adlı bir grup tarafından Roundcube'deki sıfır gün açığının istismar edilmesi de anlatılıyor. ESET ayrıca, ESET araştırmacılarının Kazakistan'ın lehine olduğuna inandığı SturgeonPhisher grubu tarafından Orta Doğu'da yürütülen bir kampanyaya da dikkat çekiyor.
APT Raporu Hakkında Bilgi
ESET ürünleri, müşterilerinin sistemlerini bu raporda açıklanan kötü amaçlı etkinliklerden korur. Burada paylaşılan bilgiler, temel olarak özel ESET telemetri verilerine dayanmaktadır ve belirli APT gruplarının faaliyetlerini detaylandıran derinlemesine teknik raporlar ve sık etkinlik güncellemeleri hazırlayan ESET araştırmacıları tarafından doğrulanmıştır. ESET APT Reports PREMIUM olarak bilinen bu tehdit istihbaratı analizleri, vatandaşları, kritik ulusal altyapıyı ve yüksek değerli varlıkları suç ve ulus-devlet kaynaklı siber saldırılardan korumakla görevli kuruluşlara yardımcı olmaktadır. Bu rapor, ESET'in özel APT raporları müşterilerine sağlanan siber güvenlik istihbarat verilerinin yalnızca bir kısmını içermektedir.