AVCILAR BELEDİYESİ’NE 652 İHBAR

Silivri merkezli depremin Avcılar’daki etkilerini inceleyen ekipler, genel taramalarda herhangi bir yıkım tespit etmedi.  Avcılar Belediyesi’ne vatandaşlardan toplam 652 ihbar ulaştı. Teknik ekipler, gelen her başvuru için yerinde ön inceleme gerçekleştiriyor. İncelemelerde, özellikle binaların taşıyıcı sistemlerinde, kolon, kiriş ve döşemelerde, depremin oluşturmuş olabileceği yapısal hasarlar değerlendiriliyor.

Hızlı tarama yöntemiyle yapılan ön hasar tespit çalışmalarında, binaların genel durumu hakkında ilk teknik veriler toplanıyor. Ekipler, taşıyıcı sistem elemanlarında gözle görülür çatlak, ayrılma veya deformasyon tespit edilmesi durumunda detaylı incelemeye yönlendiriyor.

HASAR TESPİT ÇALIŞMALARI DEVAM EDİYOR

Can ve mal güvenliğini önceleyen bir yaklaşımla çalışmaların ivedilikle sürdürüldüğünü ve vatandaşların başvurularının titizlikle değerlendirildiğini belirten Avcılar Belediye Başkan Yardımcısı Nilgün Evcil, çalışmalarla ilgili detaylı bilgi verdi.

Vatandaşların olası risklere karşı duyarlı olmalarını ve binalarında gözlemledikleri hasarları belediyeye bildirmelerini önemle vurgulayan Evcil; “Öncelikle teknik ekiplerimiz ön hasar tespitten sorumlu. Eski binalarımızın kritik kat olarak belirlediğimiz bodrum katları oluyor, bu katlardan başlayarak olası deformasyonları, taşıyıcı sistemde deprem kaynaklı bir hasar oluşup oluşmadığını öncelikle tespit ediyorlar. Yapılan ihbarlar üzerine depremin ilk anlarında 4 binayı ihtiyati tedbir kapsamında tahliye etmiştik, daha sonra yapılan taşıyıcı sistem incelemesinde ikisinin riski görülmediğinden mühürleri açıldı. Onun dışında yapılan tespitlerde ilçemizde şuana kadar ağır ve orta hasarlı binaya rastlanmadı.” dedi.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Android cihazlarda, kullanıcıların uygulamaları Google Play gibi resmi uygulama mağazalarını atlayarak doğrudan APK dosyası biçiminde gelen yükleme dosyalarından yüklemesi mümkün. Bu durum bazı koşullarda kullanışlı olsa da, aynı zamanda risk de taşıyor ve bazen siber suçlular tarafından kötü amaçlı yazılım yaymak için kullanılıyor. Bunlar arasında özellikle Tria Stealer, Telegram ve WhatsApp’taki kişisel ve grup sohbetleri aracılığıyla bir APK yükleme dosyası şeklinde dağıtılıyor. Alıcıları sözde bir düğüne davet etmek için sosyal mühendislik kullanıyor ve davetiyeyi görüntülemek için APK’yı yüklemelerini istiyor.

Ele geçirilmiş bir WhatsApp hesabı üzerinden teslimat (solda) ve ele geçirilmiş bir Telegram hesabı aracılığıyla teslimat (sağda)

Kötü amaçlı yazılım yüklendikten sonra metin mesajlarını okuma ve alma, telefon durumunu, arama günlüklerini ve ağ etkinliğini izleme gibi hassas verilere ve işlevlere erişmesine izin veren izinlerin yanı sıra sistem düzeyinde uyarılar görüntüleme, arka planda çalışma ve cihaz yeniden başlatıldıktan sonra otomatik olarak başlama gibi eylemler gerçekleştirmesini istiyor. Bu izinler toplu olarak cihaz işlemleri üzerinde önemli bir kontrol sağlıyor ve saldırganlar mesaj ve e-postaları çalmak için kurbanların bildirimlerine müdahale edebiliyor. Uygulama, kurbanı isteklerin ve uygulamanın kendisinin meşru olduğunu düşünmesi için kandırmak amacıyla dişli simgesine sahip bir sistem ayarları uygulamasını taklit ediyor.

Kullanıcıdan ayrıca telefon numarasını girmesi isteniyor ve bu numara cihazın marka ve modeliyle birlikte saldırganlara gönderiliyor. Çalınan tüm veriler Telegram botları aracılığıyla saldırganlara aktarılıyor.

Özel iletişim kutusu telefon numarasını soruyor

Kaspersky GReAT Güvenlik Araştırmacısı Fareed Radzi, şunları söylüyor: “Bu kötü amaçlı uygulama, kampanya örneklerinde bulunan benzersiz metin dizilerine dayanarak Kaspersky tarafından ‘Tria Stealer’ olarak adlandırıldı. Araştırmamız, bu yazılımın muhtemelen Endonezya dilini konuşan tehdit aktörleri tarafından işletildiğini gösteriyor. Çünkü içeriğinde Endonezya dilinde yazılmış eserler bulduk, yani kötü amaçlı yazılıma gömülü birkaç benzersiz dizge ve saldırganlar tarafından kullanılan Telegram botlarının adlandırma modeli böyleydi. Hırsızlar ciddi mali kayıplara ve gizlilik ihlallerine neden olabilir. Bireylerin ve kurumsal kullanıcıların her zaman tetikte olmaları ve tanıdıkları birinden gelse bile çevrimiçi ortamda aldıkları talepleri körü körüne takip etmekten kaçınmaları çok önemlidir.”

Securelist’te konu hakkında daha fazlasını okuyabilirsiniz.

Kaspersky, kendinizi mobil tehditlerden korumanız için aşağıdaki önerileri paylaşıyor:

• Uygulamaları yalnızca App Store, Google Play, Amazon Appstore veya diğerleri gibi resmi mağazalardan indirin. Bu marketlerdeki uygulamalar %100 güvenli değildir, ancak en azından kontrol edilirler ve bazı filtreleme sistemleri vardır. Her uygulama bu mağazalara giremez.
• Kullandığınız uygulamaların izinlerini kontrol edin ve özellikle metin mesajlarını okuma gibi yüksek riskli izinler söz konusu olduğunda yeni bir uygulamaya izin vermeden önce dikkatlice düşünün.
• Kötü amaçlı uygulamaları tespit edecek güvenilir bir güvenlik çözümü kullanın.

Kaynak: (BYZHA) Beyaz Haber Ajansı

 Bu siber casusluk operasyonunda saldırganlar, yasal yükleyiciyi, ESET’in SlowStepper adını verdiği ve 30’dan fazla bileşenden oluşan bir araç setine ve zengin özelliklere sahip bir arka kapı olan grubun imza implantını da dağıtan bir yükleyiciyle değiştirdiler. Çin’e bağlı tehdit aktörü en az 2019’dan beri aktif. Çin, Tayvan, Hong Kong, Güney Kore, Amerika Birleşik Devletleri ve Yeni Zelanda’daki kişi ve kuruluşlara karşı casusluk operasyonları yürütüyor.

 Keşfi yapan ESET araştırmacısı Facundo Muñoz “Mayıs 2024’te, Güney Kore’deki kullanıcıların yasal VPN yazılımı IPany’nin web sitesinden indirdikleri Windows için bir NSIS yükleyicisinde kötü amaçlı kod tespit ettik. Analizin daha sonrasında yükleyicinin hem yasal yazılımı hem de arka kapıyı dağıttığını keşfettik. VPN yazılımının geliştiricisiyle temasa geçerek durumu bildirdik ve kötü amaçlı yükleyici web sitelerinden kaldırıldı. PlushDaemon araç setindeki çok sayıda bileşen ve zengin sürüm geçmişi, daha önce bilinmeyen bu Çin bağlantılı APT grubunun çok çeşitli araçlar geliştirmek için özenle çalıştığını gösteriyor ve bu da onu dikkat edilmesi gereken önemli bir tehdit haline getiriyor” açıklamasını yaptı. 

 PlushDaemon, trafiği saldırgan kontrolündeki sunuculara yönlendirerek Çin uygulamalarının meşru güncellemelerini ele geçirme tekniğiyle ilk erişimi elde ediyor. ESET, grubun yasal web sunucularındaki güvenlik açıkları üzerinden erişim sağladığını da gözlemledi.

SlowStepper arka kapısı sadece PlushDaemon tarafından kullanılmaktadır. Bu arka kapı, DNS kullanan çok aşamalı C&C protokolünün yanı sıra casusluk yeteneklerine sahip düzinelerce ek Python modülünü indirme ve çalıştırma yeteneği ile dikkat çekiyor. Kötü amaçlı yazılım web tarayıcılarından çok çeşitli veriler toplar; fotoğraf çekebilir, belgeleri tarar, mesajlaşma uygulamaları (örneğin WeChat, Telegram) dahil olmak üzere çeşitli uygulamalardan bilgi toplar, ses ve video yoluyla casusluk yapabilir ve parola kimlik bilgilerini çalabilir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Bu güvenlik açığının istismar edilmesi, sistem önyüklemesi sırasında güvenilmeyen kodun yürütülmesine yol açabilir ve potansiyel saldırganların, yüklü işletim sisteminden bağımsız olarak UEFI Güvenli Önyükleme’nin etkin olduğu sistemlerde bile kötü amaçlı UEFI önyükleme kitlerini (Bootkitty veya BlackLotus gibi) kolayca dağıtmasına olanak tanır.

ESET , bulguları Haziran 2024’te CERT Koordinasyon Merkezi’ne (CERT/CC) bildirmiş ve bu merkez de etkilenen satıcılarla başarılı bir şekilde iletişime geçmişti. Sorun, etkilenen ürünlerde düzeltildi. Eski, savunmasız ikili dosyalar Microsoft tarafından 14 Ocak 2025 Salı günü yama güncellemesinde iptal edildi.Etkilenen UEFI uygulaması Howyar Technologies Inc., Greenware Technologies, Radix Technologies Ltd., SANFONG Inc., Wasay Software Technology Inc., Computer Education System Inc. ve Signal Computer GmbH tarafından geliştirilen çeşitli gerçek zamanlı sistem kurtarma yazılımı paketlerinin bir parçasıdır. 

Güvenlik açığını keşfeden ESET araştırmacısı Martin Smolár yaptığı açıklamada şunları söyledi: “Son yıllarda keşfedilen UEFI güvenlik açıklarının sayısı ve bunların yamanması ya da güvenlik açığı bulunan ikili dosyaların makul bir süre içinde iptal edilmesindeki başarısızlıklar, UEFI Secure Boot gibi temel bir özelliğin bile aşılmaz bir bariyer olarak görülmemesi gerektiğini gösteriyor. Ancak bu güvenlik açığıyla ilgili olarak bizi en çok endişelendiren şey, benzer durumlara kıyasla oldukça iyi olan ikiliyi düzeltmek ve iptal etmek için geçen süre değil, bu kadar açık bir şekilde güvenli olmayan imzalı bir UEFI ikilisinin keşfedilmesinin ilk olmayışıdır. Bu durum, üçüncü taraf UEFI yazılım satıcıları arasında bu tür güvensiz tekniklerin kullanımının ne kadar yaygın olduğu ve dışarıda kaç tane benzer belirsiz ama imzalı önyükleyici olabileceği sorularını gündeme getiriyor.”

Saldırganlar, Microsoft üçüncü taraf UEFI sertifikasının kayıtlı olduğu herhangi bir UEFI sistemine savunmasız ikilinin kendi kopyasını getirebildiğinden bu güvenlik açığından yararlanma, etkilenen kurtarma yazılımının yüklü olduğu sistemlerle sınırlı değil. Ayrıca savunmasız ve kötü amaçlı dosyaları EFI sistem bölümüne dağıtmak için yükseltilmiş ayrıcalıklar gerekli (Windows’ta yerel yönetici; Linux’ta root). Güvenlik açığı, standart ve güvenli UEFI işlevleri LoadImage ve StartImage yerine özel bir PE yükleyicinin kullanılmasından kaynaklanıyor. Microsoft üçüncü taraf UEFI imzalamasının etkin olduğu tüm UEFI sistemleri etkilenmektedir (Windows 11 Secured-core PC’lerde bu seçenek varsayılan olarak devre dışı bırakılmalıdır).

Güvenlik açığı, Microsoft’un en son UEFI iptalleri uygulanarak azaltılabilir. Windows sistemleri otomatik olarak güncellenmelidir. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaynak: (BYZHA) Beyaz Haber Ajansı

Windows işletim sistemi siber saldırılar için öncelikli hedef olmaya devam etti ve günlük olarak tespit edilen tüm kötü amaçlı yazılım verilerinin %93’ünü oluşturdu. Çeşitli komut dosyaları ve farklı Microsoft Office belge formatları aracılığıyla yayılan kötü niyetli yazılım aileleri, günlük olarak tespit edilen tüm kötü niyetli dosyaların %6’sını oluşturarak ilk üç tehdit arasında yer aldı.

Kaspersky’nin tespit sistemleri, Windows zararlı yazılımlarında 2023’ten 2024’e %19’luk önemli bir artış tespit etti. En yaygın kötü amaçlı yazılım türü, 2023’ten 2024’e %33’lük artışla Truva atları (kendilerini yasal yazılım olarak gizleyen kötü amaçlı programlar) olmaya devam ediyor. Trojan-droppers saldırılarının (kurbanın bilgisayarına veya telefonuna kurbanın haberi olmadan başka kötü amaçlı yazılımlar göndermek için tasarlanmış programlar) kullanımında da 2,5 kat (%150) artış gözlemlendi.

Kaspersky Anti-Malware Araştırma Başkanı Vladimir Kuskov, şunları söyledi: “Saldırganlar kullanıcılara ve kuruluşlara saldırmak için yeni kötü amaçlı yazılımlar, teknikler ve yöntemler geliştirmeye devam ettikçe yeni tehditlerin sayısı her yıl artıyor. Bu yıl da istisna değildi ve açık kaynaklı paketler (örneğin XZ vakası) de dahil olmak üzere güvenilir ilişkilere ve tedarik zincirlerine yönelik saldırılar gibi tehlikeli eğilimler bolca gözlemlendi. Sosyal medya kullanıcılarını hedef alan büyük çaplı kimlik avı, kötü niyetli kampanyalar ve bankacılık kötü amaçlı yazılımlarında artış vardı. Elbette ki yeni kötü amaçlı yazılımlar üretmek veya kimlik avı saldırılarını kolaylaştırmak için yapay zeka araçlarının kullanımı da gündemdeydi. Gelişen siber tehdit ortamında, güvenilir güvenlik çözümlerinin kullanılması hayati önem taşıyor. Kaspersky uzmanları her zaman yeni ve zorlu siber tehditlerle mücadele etmeye, kullanıcılar için güvenli bir çevrimiçi deneyim sağlamanın yanı sıra kurumlar için sağlam siber güvenlik ve en son tehdit istihbaratını sağlamaya kendini adamıştır.” 

Kaspersky, siber tehditlere karşı korunmak için aşağıdaki önerileri uygulayın:

Bireysel kullanıcılar:

• Güvenilmeyen kaynaklardan uygulama indirmeyin ve yüklemeyin.
• Bilinmeyen kaynaklardan gelen bağlantılara veya şüpheli çevrimiçi reklamlara tıklamayın.
• Mümkün olan her zaman iki faktörlü kimlik doğrulama kullanın. Küçük ve büyük harfler, sayılar ve noktalama işaretlerinin bir karışımını kullanarak güçlü ve benzersiz parolalar oluşturun. Bunları hatırlamanıza yardımcı olması için güvenilir bir parola yöneticisi kullanın.
• Kritik güvenlik sorunları için düzeltmeler içeren güncelleştirmeleri kullanılabilir olduklarında hemen yükleyin.
• Ofis veya siber güvenlik yazılımları için güvenlik sistemlerini devre dışı bırakmanızı isteyen mesajları dikkate almayın.
• Ödüllü Kaspersky Premium gibi sistem türünüze ve cihazlarınıza uygun sağlam bir güvenlik çözümü kullanın.

Organizasyonlar:

• Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
• Kesinlikle gerekli olmadıkça uzak masaüstü hizmetlerini (RDP gibi) genel ağlara açmayın ve bunlara erişim için her zaman güçlü parolalar kullanın.
• Üstün savunma yetenekleri elde etmek, rutin EDR görevlerini otomatikleştirmek, analistlerin karmaşık tehditleri ve APT benzeri saldırıları hızla avlamasını, önceliklendirmesini, araştırmasını ve etkisiz hale getirmesini sağlamak için şirketin kurumsal ağındaki tüm uç noktalarda kapsamlı görünürlük sağlayan Kaspersky NEXT EDR Expert gibi çözümleri kullanın.
• Tehdit aktörleri tarafından kullanılan gerçek TTP’lerden haberdar olmak için en son Tehdit İstihbaratı bilgilerine başvurun.
• Kurumsal verilerinizi düzenli olarak yedekleyin. Yedekler ağdan izole edilmelidir. Gerekirse acil bir durumda yedeklere hızlı bir şekilde erişebileceğinizden emin olun.

Bu keşifler, Kaspersky’nin Ocak ayından Ekim ayına kadar tespit ettiği zararlı dosyalara dayanıyor. Bilgiler siber güvenlik dünyasındaki önemli değişimler hakkında yıllık tahminler ve analitik raporlar serisi olan Kaspersky Security Bulletin’in (KSB) bir parçası olarak yayınlanıyor. Diğer KSB raporları hakkında daha fazla bilgi edinmek için bu bağlantıyı takip edin.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky’nin ICS CERT uzmanları, yaptıkları araştırmalar sayesinde saldırganların uygulama işlemcisi üzerinde çalışan işletim sisteminde yer alan güvenlik mekanizmalarını atlatabileceğini, çekirdeğe doğrudan erişebileceğini, sistem düzeyinde ayrıcalıklarla yetkisiz kod çalıştırabileceğini ve sistem dosyalarını değiştirebileceğini gösterdi. Ekip, cihazın Doğrudan Bellek Erişimi (DMA) çevre birimlerini (veri aktarımlarını yöneten bileşenler) manipüle eden ve bilgisayar korsanlarının Bellek Koruma Birimi (MPU) gibi temel korumaları atlamasına izin veren teknikler de dahil olmak üzere, çeşitli saldırı vektörlerini gözlem altına aldı. Bu yöntemler, Kaspersky tarafından ortaya çıkarılan Operation Triangulation APT kampanyasında görülen taktiklerle benzeşiyor ve gerçek saldırganların benzer taktikler kullanabileceğini gösteriyor. Bununla birlikte bu tür saldırı teknikleri, karmaşıklık yapıları nedeniyle gelişmiş teknik becerilere ve geniş kaynaklara sahip saldırganlar tarafından kullanılma potansiyeline sahip.

Unisoc yonga setlerinin yaygın kullanımı, ortaya çıkarılan güvenlik açıklarının hem tüketici hem de endüstriyel ortamlardaki potansiyel etkisini artırıyor. Bu durum otomotiv veya telekomünikasyon gibi kritik sektörlerde uzaktan kod çalıştırma yoluyla ciddi güvenlik sorunlarına yol açma ve operasyonel bütünlüğü bozma ihtimaline sahip.

Kaspersky ICS CERT Başkanı Evgeny Goncharov, şunları söylüyor: “SoC güvenliği, hem yonga tasarım ilkelerine hem de tüm ürün mimarisine dikkat edilmesini gerektiren karmaşık bir konudur. Birçok çip üreticisi, fikri mülkiyetlerini korumak için işlemcilerinin iç işleyişiyle ilgili gizliliğe öncelik veriyor. Bu anlaşılabilir bir durum olsa da, donanım ve ürün yazılımında yazılım düzeyinde ele alınması zor ve belgelenmemiş risklere yol açabilir. Araştırmamız, potansiyel risklerin belirlenmesi ve azaltılması için çip üreticileri, nihai ürün geliştiricileri ve siber güvenlik topluluğu arasında daha işbirlikçi bir ilişkinin geliştirilmesinin önemini vurguluyor.”

Kaspersky, ayrıca Unisoc’u güvenlik konusundaki proaktif yaklaşımı ve müşterilerini koruma konusundaki kararlılığından dolayı takdir etti. Güvenlik açıkları hakkında bilgilendirildikten sonra Unisoc, tespit edilen sorunları gidermek için hızlı bir şekilde yamalar geliştirip yayınlayarak olağanüstü bir duyarlılık gösterdi. Bu hızlı eylem Unisoc’un potansiyel riskleri azaltma ve ürünlerinin güvenliğini sağlama konusundaki kararlılığının altını çiziyor.

Kaspersky ICS CERT, siber riskleri azaltmak için cihaz üreticilerini ve kullanıcılarını bu güncellemeleri hemen yüklemeye davet ediyor. Ancak donanım mimarilerinin karmaşık yapısı nedeniyle, yalnızca yazılım güncellemeleriyle tamamen çözülemeyecek belirli sınırlamalar da söz konusu olabilir. Bu nedenle proaktif bir önlem olarak hem yazılım yamalarını hem de ek güvenlik önlemlerini kapsayan, çok katmanlı bir güvenlik yaklaşımının benimsenmesi yerinde olacaktır.

Kaspersky ICS CERT, kuruluşunuzu hedef alan bir siber saldırıda kullanılabilecek güvenlik açıklarıyla ilişkili riskleri azaltmak için aşağıdaki önlemleri öneriyor:

• Mevcut araçlarla mümkün olan en yüksek güvenlik seviyesine ulaşmak için BT ve OT sistemlerinin denetimlerini ve düzenli güvenlik değerlendirmelerini gerçekleştirin.
• Teknik olarak mümkün olan en kısa sürede güvenlik düzeltmeleri ve yamaları uygulayın veya telafi edici önlemler alın. Bunlar büyük olayları önlemek için çok önemlidir.
• İşiniz ve operasyonlarınız OT sistemlerine bağlıysa, güvenlik ekibinize özel tehdit istihbaratı sağlayın. ICS Tehdit İstihbaratı Raporlama hizmeti, mevcut tehditler ve saldırı vektörleri ile bunları azaltmanın yolları hakkında içgörüler sağlar.
• Endüstriyel ağların ve otomasyon sistemlerinin güvenilir şekilde korunmasını sağlamak için bir OT XDR platformu olan Kaspersky Industrial CyberSecurity (KICS) kullanın. KICS, Kaspersky ekosistemi içinde merkezi varlık ve risk yönetimi, güvenlik ve uyumluluk denetimleri, olağanüstü ölçeklenebilirlik ve sorunsuz BT-OT yakınsaması sunar.

Kaynak: (BYZHA) Beyaz Haber Ajansı

–

Temiz bir Lüleburgaz için çalışmalarını kararlılıkla sürdüren Lüleburgaz Belediyesi, çevreyi kirleten kişi ve işletmelere karşı denetimlerini sürdürüyor.

Lüleburgaz Belediyesi Zabıta Müdürlüğü ekipleri, çevreyi kirletenlere karşı taviz vermeden kameralardan gün boyu tespit ve izleme çalışmalarına devam ediyor.

ÇÖPLERİNİ GELİŞİGÜZEL ATANLAR TESPİT EDİLİYOR

Ekipler özellikle, çevre kirliliğinin arttığı bölgelere yoğunlaşarak çevreyi kirletenlerin tespitini yapıyor.

Gerek sahada gerek kamera aracılığıyla tespit edilen kişi ve işletmeler, cezai yaptırımlarla karşı karşıya kalıyor.

‘İZMARİTLER’ BİLE TAKİPTE!

Çevreye en yaygın olarak atılan çöplerin başında gelen izmaritler de sıkı zabıtanın radarında.

Ekipler, başta izmarit atanlar olmak üzere gelişigüzel yerlere çöp atanların tespitini yaparak cezai işlem uyguluyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı

Kaspersky, APT faaliyetlerini sürekli olarak izlemenin bir parçası olarak, son kampanyaların bu bölgelerdeki yüksek profilli kuruluşları ve stratejik altyapıları hedef aldığını, kampanyanın genel olarak aktif olduğunu ve başka kurbanları da hedefine alabileceğini keşfetti.

T-APT-04 veya RattleSnake olarak da bilinen SideWinder, 2012 yılında faaliyete başlayan en üretken APT gruplarından biri olarak dikkat çekiyor. Saldırı yıllar boyunca öncelikle Pakistan, Sri Lanka, Çin ve Nepal’deki askeri ve kamu kurumlarının yanı sıra Güney ve Güneydoğu Asya’daki diğer sektörleri ve ülkeleri hedef almıştı. Son zamanlarda Kaspersky, bu tehdide ait Orta Doğu ve Afrika’daki yüksek profilli kuruluşları ve stratejik altyapıyı etkileyecek şekilde genişleyen yeni saldırı dalgaları gözlemledi.

Kaspersky, coğrafi genişlemenin yanı sıra SideWinder’ın daha önce bilinmeyen ‘StealerBot’ adlı bir post-exploitation araç seti kullandığını keşfetti. Bu özellikle casusluk faaliyetleri için tasarlanan gelişmiş modüler implant, şu anda grup tarafından ana sömürü sonrası aracı olarak kullanılıyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Giampaolo Dedola, şunları söylüyor: “StealerBot özünde, tehdit aktörlerinin kolay tespitten kaçınırken sistemleri gözetlemesine olanak tanıyan gizli bir casusluk aracıdır. Her bileşeni belirli bir işlevi yerine getirmek üzere tasarlanmış modüler bir yapı aracılığıyla çalışır. Bu modüller hiçbir zaman sistemin sabit diskinde dosya olarak görünmez, bu da onları izlemeyi zorlaştırır. Bunun yerine doğrudan belleğe yüklenirler StealerBot’un merkezinde, tüm operasyonu denetleyen, tehdit aktörünün komuta ve kontrol sunucusuyla iletişim kuran ve çeşitli modüllerinin yürütülmesini koordine eden ‘Orkestratör’ yer alır.”

Kaspersky, son yaptığı araştırma sırasında StealerBot’un ek kötü amaçlı yazılım yükleme, ekran görüntüleri yakalama, tuş vuruşlarını kaydetme, tarayıcılardan parola çalma, RDP (Uzak Masaüstü Protokolü) kimlik bilgilerini ele geçirme, dosya sızdırma ve daha fazlası gibi bir dizi kötü amaçlı etkinlik gerçekleştirdiğini gözlemledi.

Kaspersky, grubun faaliyetlerini ilk olarak 2018’de raporladı. Bu aktörün ana bulaşma yöntemi olarak Office açıklarından yararlanan ve zaman zaman arşivlerde bulunan LNK, HTML ve HTA dosyalarını kullanan kötü amaçlı belgeler içeren kimlik avı e-postalarını kullandığı biliniyor. Belgeler genellikle halka açık web sitelerinden elde edilen bilgiler içeriyor ve bu bilgiler kurbanı dosyayı açmak için yasal olduğuna ikna etmek amacıyla kullanılıyor. Kaspersky, paralel kampanyalarda hem özel yapım hem de değiştirilmiş, halka açık RAT’lar dahil olmak üzere çeşitli kötü amaçlı yazılım ailelerinin kullanıldığını gözlemledi.

Kaspersky uzmanları, APT faaliyetleriyle ilgili tehditleri azaltmak için kuruluşunuzun bilgi güvenliği uzmanlarını Kaspersky Tehdit İstihbarat Portalı gibi en son bilgiler ve teknik ayrıntılarla donatmanızı; uç noktalar için ve ağdaki gelişmiş tehditleri tespit etmek için Kaspersky Next ve Kaspersky Anti Targeted Attack Platform gibi kanıtlanmış çözümler kullanmanızı; çalışanlarınızı kimlik avı postaları gibi siber güvenlik tehditlerini tanımaları için eğitmenizi öneriyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı