Özet
Son yıllarda artan siber saldırılar arasında, 2020 yılından beri Güneydoğu Asya askerî örgütlerini hedef alan bir siber casusluk operasyonu dikkat çekiyor. Bu operasyon, devlet destekli bir kampanya olarak gözlemlenmiş olup, etkili bilgi toplama taktikleri ile siber güvenlik uzmanlarını endişelendiriyor.
Saldırı Nasıl Çalışıyor?
Palo Alto Networks Unit 42 tarafından izlenen bu tehdit etkinliği, CL-STA-1087 adı altında takip edilmektedir. Burada “CL”, küme (cluster) ve “STA”, devlet destekli motivasyonu belirtmektedir. Saldırganlar, askeri yetenekler, organizasyon yapıları ve Batılı silahlı kuvvetlerle yapılan işbirlikleri hakkında hassas dosyaları hedef alarak dikkat çekici bir strateji sergilemektedirler.
Saldırı, “AppleChris” ve “MemFun” adındaki arka kapıları kullanarak gerçekleştirilmektedir. Ayrıca, şifre toplama işlemleri için Getpass adlı bir araç kullanılmaktadır. Saldırganlar, hedef sistemlerde gizli erişim sağlamak için detaylı ve sürekli bir yöntem izlemektedir.
Etkilenen Sistemler
Bu kampanyanın temel özellikleri arasında şunlar bulunmaktadır:
- Özenle hazırlanmış teslimat yöntemleri
- Savunma aşamasından kaçınma stratejileri
- Yüksek stabiliteye sahip operasyonel altyapı
- Özelleştirilmiş yükleme yöntemleri
Saldırıların başında, bilinmeyen bir erişim vektörü kullanılarak gerçekleştirilen PowerShell yürütme işlemleri saptanmıştır. Bu süreç, ana sistemden bağımsız olarak dosya yüklemeleri, indirmeleri ve silmeleri gibi çeşitli komutların yürütülmesini sağlar.
Güvenlik Araçları ve Yöntemler
AppleChris, DLL hijacking tekniğiyle başlatılmakta ve komut sunucusuna (C2) bağlanarak komut almakta ve yürütme yapmaktadır. MemFun ise, daha karmaşık bir yükleme yöntemi ile çalışarak kullanıcıların anti-forensic (anti-soruşturma) önlemlerini aşmaktadır. Bu süreçte, sistem dosyalarının zaman damgalarını değiştirerek kendisini gizlemeyi başarmaktadır.
Saldırıların başarılı olması için kullanılan araçlar:
- AppleChris: Arka kapı olarak görev yapar.
- MemFun: Modüler bir malware platformu işlevi görür.
- Getpass: Şifreleri çıkarmak için kullanılır.
Çözüm ve Korunma
Sistemlerinizi bu tür tehditlere karşı korumak için aşağıdaki önlemleri almanız önerilir:
- Sistem yazılımlarınızı ve güvenlik duvarlarınızı güncel tutun.
- Yetkisiz erişimle ilgili olayları izlemek için güçlendirilmiş izleme ve kayıt sistemleri kullanın.
- Güvenlik açıklarınızı düzenli olarak kontrol edin ve hızlı bir şekilde düzeltin.
Sonuç
Bu tür siber saldırılar, uzun vadeli ve hedef odaklı istihbarat toplama amaçları güden tutkularla gerçekleştirilmekte. Etkilenen organizasyonların, güncellemeleri yüklemesi, güvenlik duvarlarını yapılandırması ve gerekli portları kapatmaları gerekmektedir. Unutmayın, güvenlik önlemlerinizi artırmak, olası bir saldırının etkilerini en aza indirecektir.
