Siber Güvenlik

Güneydoğu Asya’daki Hükümet ve Telekomünikasyon Sektörlerine Yönelik Yeni Siber Tehdit: Earth Kurma Grubu’nun Saldırıları

teknomers
teknomers

Earth Kurma nedir?
Bu APT grubu hangi alanları hedef alıyor?
Kullanılan teknikler nelerdir?
Saldırıların ardındaki yöntemler neler?
Veri sızıntısı nasıl gerçekleşiyor?

Contents

Earth Kurma nedir?

Earth Kurma, 2024 yılının Haziran ayında ortaya çıkmış yeni bir gelişmiş sürekli tehdit (APT) grubudur. Bu grup, özellikle Güneydoğu Asya’daki hükümet ve telekomünikasyon sektörlerini hedef alarak sofistike saldırılarda bulunmaktadır. Tespit edilen saldırılar, özel yazılımlar, kök kitleri ve bulut depolama hizmetleri kullanılarak veri sızıntısı için tasarlanmıştır.

Bu APT grubu hangi alanları hedef alıyor?

Earth Kurma’nın başlıca hedefleri arasında Filipinler, Vietnam, Tayland ve Malezya gibi ülkeler bulunmaktadır. Bu ülkelerdeki kilit sektörler, bilgi sızıntısı ve hedefli casusluk faaliyetlerine maruz kalmaktadır. Araştırmalar, bu grubun kurulmasının ardından bu ülkelerdeki birçok yüksek profilli kuruluşun tehdit altına girdiğini göstermektedir.

Kullanılan teknikler nelerdir?

Earth Kurma’nın saldırı teknikleri, genellikle "yaşayan kaynakları kullanma" (LotL – living-off-the-land) yöntemlerine dayanmaktadır. Bu yöntemler, hackerlerin meşru sistem araçlarını ve özelliklerini kullanarak kök kitleri kurmalarını sağlar. Örneğin, sistemin yerleşik bileşenlerinden biri olan syssetup.dll gibi dosyalar kullanılarak, kötü amaçlı yazılımların tespit edilmesi zorlaştırılmıştır. Grubun kullandığı diğer tehditler arasında KRNRAT ve Moriya gibi kök kitleri de bulunmaktadır.

Saldırıların ardındaki yöntemler neler?

Saldırganlar, başlangıçta hedef sistemlere nasıl eriştiklerini tam olarak açıklamamışlardır. Ancak elde edilen verilere göre, ilk aşama tamamlandıktan sonra tarama ve yan hareketler gerçekleştirmektedirler. Bu süreçte NBTSCAN, Ladon, FRPC, WMIHACKER ve ICMPinger gibi çeşitli araçlar kullanılır. Bununla birlikte, KMLOG adında bir tuş kaydedici, kimlik bilgilerini toplamak için devreye girmektedir.

Veri sızıntısı nasıl gerçekleşiyor?

Veri sızıntısı, Earth Kurma grubunun geliştirdiği özel araçlar olan SIMPOBOXSPY ve ODRIZ ile gerçekleştirilir. Bu araçlar, topladıkları dosyaları Dropbox veya OneDrive gibi bulut hizmetlerine yüklemektedir. Araştırmalar, verilerin ilk olarak "tmp" adlı yeni bir klasöre yerleştirildiğini ve ardından WinRAR aracıyla belirli bir şifre ile arşivlendiğini göstermektedir. Bu süreç, belgelerin güvenli bir şekilde dışarı aktarılmasını sağlamak amacıyla tasarlanmıştır.

Tüm bu bilgiler, Earth Kurma’nın sürekli olarak hedeflerine yönelik saldırılarını sürdürdüğünü ve Güneydoğu Asya ülkelerinde yüksek bir tehdit oluşturduğunu göstermektedir.

Güncel Siber Güvenlik Haberleri – 1

Çinli Hackerlar React2Shell Açıklarını Kullanmaya Başladı!
Yeni Ghost Calls taktiği, C2 operasyonları için Zoom ve Microsoft Teams’i kullanıyor.
Protein parçaları iki yeni ‘ekstremofil’ mikrobu tanımlıyor ve uzaylı yaşamının bulunmasına yardımcı olabilir
Mühendislerin Eyfel Kulesi’ne yeni bir radyo anteni eklemesini izleyin
AR tabanlı yeni Twister Air’i oynadım ve bu harika
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale <h3>Windows 10’un Nisan Güncellemesi: Başlat Menüsündeki Sorunlar Kullanıcıları Rahatsız Ediyor</h3>
Sonraki Makale <p><strong>Celtic’in Mali Başarıları ve Şampiyonlar Ligi’nde Artan Katılımı</strong></p>

Sanal Medya

Son Eklenenler

Google, 2028’de Intel ile 3 milyon TPU için anlaştı
Donanım
Fortnite’ta TheBurntPeanut Lansmanı ile Yeni Bir Dönem Başlıyor
Oyun
Kritik! Düzgün Yamanmamış Langflow Açığı RCE için Kullanılıyor
Siber Güvenlik
Hindistan Hükümeti Starlink Projesinden Vazgeçti mi?
Genel
Microsoft, Öğrencilerin AI Konuşmalarına Neden Tepki Gösterdiğini Anladı
Liste
Acil: Microsoft Haziran 2026 Yaman Güncellemesi ile 6 Sıfır Gün Açığı!
Siber Güvenlik