APT41: Çin Bağlantılı Siber Casusluk Grupları
Son yıllarda, siber casusluk dünya genelinde önemli bir sorun haline geldi. Özellikle Çin ile bağlantılı olarak tanımlanan APT41 grubu, bu alandaki en dikkat çekici aktörlerden biri olarak öne çıkıyor. Kaspersky Lab tarafından yapılan bir araştırmaya göre, bu grup, Afrika bölgesindeki hükümetin IT hizmetlerini hedef alan yeni bir kampanya başlattı. Bu saldırıların, çoğu sektörde faaliyet gösteren kuruluşlara odaklandığı ve özellikle Afrika’da daha önce düşük etkinlik gösteren bir saldırı modeli ortaya koyduğu bildirilmektedir.
Hedefler ve Saldırı Metodolojisi
APT41’nin en dikkat çekici yönlerinden biri, çok çeşitli sektörleri hedef almasıdır. Bu gruptan gelen saldırılar, telekom, enerji sağlama, sağlık organizasyonları ve IT enerji şirketleri gibi alanları kapsamaktadır. Kaspersky’nin araştırma ekibi, “Saldırganlar, malware’lerinde hardcoded isimler, IP adresleri ve proxy sunucular kullanarak iç hizmetlerin denetimini yaptı” açıklamasında bulundu. Özellikle, bir C2 (komut ve kontrol) sunucusunun, saldırının başlangıcı olan kurban organizasyonunun altyapısında yer alan bir SharePoint sunucusu olduğu tespit edilmiştir.
Saldırının Tanımlanması ve İlk Adımlar
Kaspersky’nin durumu keşfetmesinin ardından, “şüpheli aktiviteleri” içeren çok sayıda iş istasyonunda inceleme başlatılmıştır. Saldırganlar, hedef organizasyon içerisindeki C2 sunucusunun durumunu kontrol etmek için komutlar çalıştırarak faaliyet göstermeye başlamışlardır. Şüpheli aktivitelerin kaynağı, izlenmeyen bir host olduğu ortaya çıkmıştır. Araştırmacılar, “Bu host, bir hizmet hesabı bağlamında ele geçirilmişti” şeklinde açıklama yapmıştır.
Bu süreçte, saldırganlar, yetki yükseltme ve yan hareket sağlamak amacıyla, ayrıcalıklı hesaplarla ilişkili kimlik bilgilerini toplama aşamasına geçmiştir. Sonuç olarak, Cobalt Strike kullanarak saldırganlar, C2 iletişimi için dll yan yüklemesi gerçekleştirmiştir.
Malicious DLL ve Hizmet Kullanımı
Saldırının gerçekleştirilme aşamasında, kötü amaçlı dll’ler, kurulu dil paketlerini kontrol eden bir kontrol mekanizması içerir ve belirli dil paketleri tespit edilmediği takdirde çalıştırma işlemini gerçekleştirir. Kullanılan hizmetler arasında hacklenmiş bir SharePoint sunucusu yer almakta ve bu sunucu komut gönderimleri için kullanılmaktadır. Saldırganlar, agents.exe ve agentx.exe adlı dosyaları SMB protokolü aracılığıyla herkese açık sunucu ile iletişim kurmak amacıyla dağıtmaktadır.
Kaspersky’nin raporuna göre, “Bu dosyaların her biri, SharePoint sunucusuna yüklenen bir C# trojanı olup, aldığı komutları çalıştırma işlevine sahiptir.” Bu durum, saldırganların güvenilir servisleri nasıl istismar ettiklerini gözler önüne sermektedir. Kısaca, normalde güvenilir olan sistemlerin suç teşkil eden faaliyetler için kullanılmasındaki artış dikkat çekicidir.
Saldırıların Sonrası ve Veri Hırsızlığı
Saldırganların, ilk keşiften sonra değerli olarak nitelendirdikleri makinelerde yeniden faaliyet gösterdikleri tespit edilmiştir. Bu süreçte, cmd.exe komutunu kullanarak dış kaynaklardan kötü amaçlı HTML Uygulama dosyalarını indirmiş ve bu dosyaları çalıştırarak sistem üzerinde komut yürütme imkanı sağlamışlardır. Girişimlerini gizlemek adına, GitHub’ı taklit eden bir alan adı kullanılmıştır.
Kuruluşların veri güvenliği için endişe yaratan bir diğer faktör ise, hırsızlık ve kimlik bilgisi toplayıcı araçların kullanılmasıdır. Bu araçlar sayesinde saldırganlar, hassas bilgileri toplayabiliyor ve verileri SharePoint sunucusu aracılığıyla dışarıya aktarabiliyor. Kaspersky’nin vurguladığına göre, “Saldırganlar hem özel hem de kamuya açık araçları kullanarak geniş bir yelpazede saldırı yöntemleri izliyor.”
Sonuç ve Gelecek Tehditler
APT41’in saldırı yöntemleri, tamamen kendi geliştirdikleri ve mevcut araçların bir karışımını kullanarak hemuzman ekipler için tespit edilmesini zorlaştırmaktadır. Bu durum, güvenlik ekiplerinin Windows ortamlarında yan hareket, kimlik bilgisi erişimi ve savunma ihtiyacı konularında zorluklar yaşamasına yol açmaktadır. Gelecekte bu tür siber tehditlerin daha da yaygınlaşması ve çeşitlenmesi muhtemel görünmektedir. Bu nedenle, hem bireylerin hem de kuruluşların sağlıklı bir güvenlik politikası geliştirmesi kritik bir önem taşımaktadır.
