Giriş
Son yıllarda, siber casusluk faaliyetleri artış göstermekte ve bu durum, özellikle Asya ve Güneydoğu Avrupa’daki çeşitli kuruluşlar için büyük tehditler oluşturmaktadır. Çin merkezli bir siber tehdit grubu olan UAT-7290, söz konusu bölgelerde özellikle telekomünikasyon sağlayıcılarını hedef alarak siber güvenlik endişelerini artırmaktadır.
Saldırı Nasıl Çalışıyor?
UAT-7290, hedef organizasyonlar üzerinde geniş ölçekli teknik keşif yaparak siber saldırılarını gerçekleştirmektedir. Bu saldırılar, çeşitli kötü amaçlı yazılımlarının dağıtılmasıyla sonuçlanmakta ve gruplarının kullandığı taktikler şunlardır:
- RushDrop (aka ChronosRAT): Enfeksiyon zincirini başlatmak için kullanılan bir dropper.
- DriveSwitch: SilentRaid’in enfekte sistemde yürütülmesi için kullanılan bir yardımcı yazılım.
- SilentRaid (aka MystRodX): C++ tabanlı bir implant olup, ele geçirilen uç noktalara kalıcı erişim sağlar ve dış bir sunucu ile iletişim kuruduğu bir eklenti yaklaşımı kullanır.
Bu grup, öncelikle bir günlük zafiyetleri kullanan, açık kaynaklı kötü amaçlı yazılımlar ve özel araçlar ile geniş bir saldırı yelpazesine sahiptir. Ayrıca, eski bir analizden yola çıkarak Bulbature isimli bir arka kapıyı da kullanarak ele geçirilen cihazları ORB olarak dönüştürmektedir.
Etkilenen Sistemler
UAT-7290’ın saldırılarına maruz kalan sistemler genellikle aşağıdakileri kapsamaktadır:
- Telekomünikasyon sağlayıcıları.
- Sektörlerdeki organizasyonlar, özellikle Güneydoğu Avrupa bölgelerinde.
Özellikle, RedLeaves ve ShadowPad gibi Windows implantları, bu tehdit grubuyla bağlantılı olarak kullandıkları belirlenen özel yazılımlardır.
Çözüm ve Korunma
Siber güvenlik uzmanları, UAT-7290’ın saldırı teknikleri ve araçları konusunda aşağıdaki önlemleri tavsiye etmektedir:
- Sistemlerinizdeki yazılımları düzenli olarak güncelleyin.
- Şifre güvenliğine dikkat edin; güçlü parola politikaları uygulayın.
- Açık kaynak yazılımlardaki zafiyetler hakkında bilgi sahibi olun ve gerekli yamaları uygulayın.
- Firewall ve antivirus çözümlerini güncel tutun.
Bu tehdit grubunun tespit ve önleme süreçlerinde etkinliğinizi artırmak için sürekli eğitim almalı ve en son gelişmeleri takip etmelisiniz.
Sonuç
Okuyucular, UAT-7290 ve benzeri tehditlere karşı önlem almak için sistem yazılımlarını güncellemeli, zafiyetleri gidermeli ve güvenlik duvarlarını etkin bir şekilde kullanmalıdır. Ayrıca, aşırı kullanıcı ve erişim yetkisi vermekten kaçınarak, siber güvenlik protokollerini güçlendirmelidir. Unutmayın ki, proaktif bir yaklaşım, siber saldırılara karşı en iyi korunma yöntemidir.
