APT41: Tehditleri Anlamak ve Önlemek
APT41 olarak bilinen grup, devlet destekli bir tehdit aktörü olarak öne çıkmaktadır. Google’ın son raporuna göre, APT41’in kullandığı TOUGHPROGRESS adlı zararlı yazılım, Google Takvim’i komut ve kontrol (C2) platformu olarak kullanmaktadır. Bu durum, APT41’in bulut hizmetlerini nasıl kötüye kullandığının çarpıcı bir örneğidir.
APT41’in Tarihi ve Hedefleri
APT41, aynı zamanda Axiom, Blackfly gibi isimlerle de bilinmektedir. Bu grup, hükümetleri ve çeşitli endüstrileri hedefleyen, etkili ve sinsi saldırılar gerçekleştiren bir yapıdadır. Özellikle şan ve medya, teknoloji ve otomotiv sektörlerinde faaliyet gösteren kuruluşlar üzerinden etkili olan APT41, geçtiğimiz yıllarda birçok ülkeye yönelik sürekli kampanyalar düzenlemiştir. Bu kampanyalarda web shell ve dropper gibi çeşitli taktikler kullanmaktadır.
Son Saldırı Zinciri
Google, 2024 yılının sonlarına doğru, APT41’in yeni bir saldırı zincirini belgeledi. Bu zincir, hedeflenen kişilere spear-phishing e-postaları göndererek başlamaktadır. Bu e-postalar, zararlı bir ZIP arşivine bağlantılar içermektedir. ZIP dosyası, bir dizin ve bir Windows kısayolu (LNK) içerir; bu kısayol, aslında bir PDF belgesi gibi görünmektedir. Ancak, özellikle 6.jpg ve 7.jpg dosyalarının sahte olduğu belirtilmektedir.
Eğer kurban, LNK dosyasını başlatırsa, bir sahte PDF görüntülenecek ve bu işlemle zararlı yazılımın infeksiyonu başlatılacaktır. Sahte görüntü ile alıcılara, hedefteki türlerin ihracı için beyan edilmesi gerektiği belirtilecektir. Bu noktada, LNK dosyası birçok gizlilik ve kaçınma tekniği uygulamaktadır.
Zararlı Yazılımın Bileşenleri
TOUGHPROGRESS, üç ayrı bileşenden oluşmaktadır. Her bileşen, belirli bir fonksiyonu yerine getirmek için sırasıyla devreye girmektedir:
PLUSDROP: İlk DLL dosyasıdır ve sonraki aşamayı bellekte çözmek ve çalıştırmak için kullanılır.
PLUSINJECT: Legitim bir svchost.exe süreci üzerinde process hollowing işlemi gerçekleştirerek son yükü enjekte eder.
- TOUGHPROGRESS: Ana zararlı yazılım olarak, Google Takvim’i kullanarak C2 işlevini yerine getirir.
Bu zararlı yazılım, bir düşmanın kontrolündeki Google Takvimi ile etkinlikler okuma ve yazma yeteneğine sahiptir. Belirli tarihlerde şifrelenmiş komutlar gönderebilir ve elde edilen verileri takvim olaylarının açıklamalarında saklar.
Google’ın Müdahalesi
Google, bu zararlı yazılımın etkisini azaltmak amacıyla, kötü niyetli Google Takvim’i kapatmış ve ilgili Workspace projelerini sonlandırmıştır. Ayrıca, etkilenen kuruluşlara bilgi verilmiştir. Ancak, bu kampanyanın tam ölçeği hala belirsizdir.
APT41’in Daha Önceki Eylemleri
Bu durum, APT41’in Google hizmetlerini daha önce de nasıl hedef aldığını gösteren bir örnektir. 2023 yılının Nisan ayında, APT41’in bir Tayvanlı medya kuruluşunu hedef aldığı ve bu kuruluş üzerinden bir Go tabanlı açık kaynak kırmızı takım aracı olan Google Command and Control (GC2) kullanarak dosyalar dağıttığı belirtilmiştir. GC2, bir arka kapı olarak çalışır ve Google E-Tablolar üzerinden komut okur.
Tehdit İstihbaratı ve Güvenlik Önerileri
APT41 gibi tehdit aktörlerini anlamak, güvenlik uzmanları için büyük bir zorluk teşkil etmektedir. Bulut tabanlı hizmetlerin kötüye kullanımı, siber saldırganların iş süreçlerine sızmalarını kolaylaştırmaktadır. Bu nedenle, güvenlik duvarları, antivirüs yazılımları ve gelişmiş tehdit algılama sistemleri gibi önlemler, bu tür saldırılara karşı etkin bir savunmanın parçasıdır.
Kurumların, çalışanlarını siber güvenlik konusunda eğitmesi ve potansiyel tehditlere karşı dikkatli olmaları da büyük bir önem taşımaktadır. Sonuç olarak, APT41 ve benzeri tehditle mücadele etmek için sürekli bir izleme ve güncelleme süreci gerekmektedir.
Bu gibi siber saldırıların önüne geçmek için, hem bireylerin hem de kuruluşların güçlü bir siber güvenlik stratejisi geliştirmeleri gerekmektedir. Bu sayede, gelecekte benzer saldırılara karşı önlem alarak, siber güvenliklerini artırabilirler.
