Rusya, Çin ve Kuzey Kore'den kaynaklanan tehditler artıyor

ESET, son derece gelişmiş kalıcı tehdit (APT) raporunu yayımladı.

Siber güvenlik şirketi ESET, Ekim 2024'ten Mart 2025'e kadar ESET araştırmacıları tarafından belgelenen belirli APT gruplarının faaliyetlerini vurgulayan en son APT Faaliyet Raporu'nu yayımladı.

İzlenen dönem boyunca başta Sednit ve Gamaredon olmak üzere Rusya'ya bağlı tehdit aktörleri, öncelikle Ukrayna ve AB ülkelerini hedefleyen agresif kampanyalar sürdürdü. Ukrayna, ülkenin kritik gruplarına ve devlet kurumlarına yönelik yoğun siber saldırılara maruz kaldı. Rusya'ya bağlı Sandworm grubu, ZEROLOT adlı yeni bir siliciyi kullanarak Ukrayna'ya ilgi gösterene karşı yıkıcı operasyonlarını yoğunlaştırdı. Çin'e bağlı tehdit aktörleri, Avrupalı kuruluşlara odaklanarak ısrarlı casusluk kampanyalarının yürütülmesine devam etti.

Gamaredon, kötü amaçlı yazılım gizliliği özelliğini geliştirerek ve Dropbox'tan yararlanan bir dosya hırsızı olan PteroBox'ı tanıtarak Ukrayna'yı hedef alan en üretken oyuncu olmaya devam etti. ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin, "Kötü kiralamalı Sandworm grubu büyük ölçüde Ukrayna enerji altyapısını altyapı atmaya odaklandı. Son vakalarda, Ukrayna'da ZEROLOT silici kötü amaçlı yazılımını konuştu. Bunun için saldırganlar, etkilenen kuruluşlardaki Active Directory Grup İlkesi'ni kullandılar" açıklamasını yaptı.

Rusya ile ilgili tehdit aktörleri Ukrayna ve AB'yi hedef alıyor

Sednit, webmail hizmetlerindeki siteler arası komut dosyası oluşturma güvenlik açıklarından faydalanma yoluyla geliştirilerek Roundcube'den RoundPress Operasyonu'nu Horde, MDaemon ve Zimbra'yı da genişletti. ESET, grup MDaemon E-posta Sunucusu'ndaki (CVE-2024-11182) bir sıfırıncı gün açığını Ukraynalı şirketlere karşı başarıyla kullandıklarını keşfetti. Bulgaristan ve Ukrayna'da bulunan savunma şirketlerine yönelik birkaç Sednit saldırısında, yem olarak spearphishing e-posta kampanyaları kullanıldı. Rusya'ya bağlı başka bir grup olan RomCom, Mozilla Firefox (CVE 2024 9680) ve Microsoft Windows'a (CVE 2024 49039) karşı sıfırıncı gün açıklarını kullanarak geliştirilmeleri gösterildi.

Çin'e bağlı gruplardan yoğun casusluk faaliyetleri

Asya'da, Çin'e bağlı APT çapındaki devlet kurumlarına ve akademik kurumlara karşı kampanyalarını sürdürdü. Aynı zamanda, Kuzey Kore'ye bağlı tehdit aktörleri Güney Kore'ye yönelik operasyonlarını önemli ölçüde artırmış ve özellikle bireylere, özel şirketlere, elçiliklere ve operasyonel personele odaklanmıştır. Mustang Panda, Korplug yazıcıları ve kötü niyetli USB ürünleri aracılığıyla devlet kurumlarını ve denizde depolamayı hedef alarak en aktif aktör olmaya devam etti. DigitalRecyclers, KMA VPN anonimleştirme ağını kullanarak ve RClient, HydroRShell ve GiftBox arka kapılarını dağıtarak AB devlet kurumlarını hedef almaya devam etti. PerplexedGoblin, ESET'in NanoSlate'in yeni casusluk arka kapısını kullanarak Webworm SoftEther VPN kullanarak bir Sırp devleti hedef aldığını ve bu aracın Çin'e bağlı gruplar arasında devam eden popülerliğini vurguladı.

Kuzey Kore'den kaynaklanan saldırılar Güney Kore ve kripto sektörüne yöneldi

Asya'nın başka yerlerinde, Kuzey Kore'ye bağlı tehdit aktörleri özellikle finansal motivasyonlu kampanyalarda aktifti. DeceptiveDevelopment, öncelikle kripto para birimi, blok zinciri ve finans sektörlerindeki sahte iş ilanlarını kullanarak hedefini önemli ölçüde genişletti. Grup, çok platformlu WeaselStore kötü amaçlı yazılımını dağıtmak için gelişmiş sosyal mühendislik teknolojileri kullandı. FBI tarafından TraderTraitor APT grubuna atfedilen Bybit kripto para hırsızlığı, Safe{Wallet}'ın yaklaşık 1,5 milyar USD'lik kayıplarına neden olan bir tedarik zinciri tehlikesinin atılmasına neden olur. Bu arada, Kuzey Kore'ye bağlı diğer değişim tempolarında dalgalanmalar görüldü: 2025'in başlangıcında, Kimsuky ve Konni, 2024'ün sonunda gözlemlenir bir durumun ardından normal faaliyet seviyelerine geri döndü ve hedeflerini İngilizce konuşan düşüncelerden, STK'lardan ve Kuzey Kore uzmanlarından uzaklaştırarak öncelikle Güney Koreli kuruluşlara ve yaklaşımlara odaklandı. Andariel ise bir yıllık hareketsizliğin ardından Güney Koreli bir endüstriyel yazılıma yönelik saldırgan bir saldırıyla yeniden ortaya çıktı.

İran bağlantılı APT'ler Orta Doğu'da aktifliğini sürdürüyor

İran'a bağlı APT grupları, ağırlıklı olarak İsrail'deki imalat ve mühendislik sektörlerindeki devlet kurumlarını ve kuruluşlarını hedef alarak Orta Doğu'ya odaklanmaya devam etti. Ayrıca ESET, teknolojiye yönelik siber saldırılarda, büyük ölçüde Kuzey Kore ile bağlantılı DeceptiveDevelopment'ın artan faaliyetlerine atfedilen önemli küresel bir artış gözlemledi.

ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin "Vurgulanan operasyonlar, bu çapta araştırdığımız daha geniş tehdit ortamını temsil ediyor. Temel koşullar ve gösteriler gösteriyorlar ve ESET APT raporlarının sağladığı sağlanan siber güvenlik istihbarat verilerinin yalnızca küçük bir depolarda yer aldığı" dedi.