Siber güvenlik şirketi ESET, Ekim 2024’ten Mart 2025’e kadar ESET araştırmacıları tarafından belgelenen belirli APT gruplarının faaliyetlerini vurgulayan en son APT Faaliyet Raporu’nu yayımladı.
İzlenen dönem boyunca, başta Sednit ve Gamaredon olmak üzere Rusya’ya bağlı tehdit aktörleri, öncelikle Ukrayna ve AB ülkelerini hedef alan agresif kampanyalar sürdürdü. Ukrayna, ülkenin kritik altyapısına ve devlet kurumlarına yönelik en yoğun siber saldırılara maruz kaldı. Rusya’ya bağlı Sandworm grubu, ZEROLOT adlı yeni bir wiper kullanarak Ukrayna enerji şirketlerine karşı yıkıcı operasyonlarını yoğunlaştırdı. Çin’e bağlı tehdit aktörleri, Avrupalı kuruluşlara odaklanarak ısrarlı casusluk kampanyaları yürütmeye devam etti.
Gamaredon, kötü amaçlı yazılım gizleme özelliğini geliştirerek ve Dropbox’tan yararlanan bir dosya hırsızı olan PteroBox’ı tanıtarak Ukrayna’yı hedef alan en üretken aktör olmaya devam etti. ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin, “Kötü şöhretli Sandworm grubu büyük ölçüde Ukrayna enerji altyapısını tehlikeye atmaya odaklandı. Son vakalarda, Ukrayna’da ZEROLOT wiper kötü amaçlı yazılımını konuşlandırdı. Bunun için saldırganlar, etkilenen kuruluşlardaki Active Directory Grup İlkesi’ni kötüye kullandılar” açıklamasını yaptı.
Rusya bağlantılı tehdit aktörleri Ukrayna ve AB’yi hedef alıyor
Sednit, webmail hizmetlerindeki siteler arası komut dosyası oluşturma güvenlik açıklarından faydalanma yöntemini geliştirerek Roundcube’den RoundPress Operasyonu’nu Horde, MDaemon ve Zimbra’yı da kapsayacak şekilde genişletti. ESET, grubun MDaemon E-posta Sunucusu’ndaki (CVE-2024-11182) bir sıfırıncı gün açığını Ukraynalı şirketlere karşı başarıyla kullandığını keşfetti. Bulgaristan ve Ukrayna’da bulunan savunma şirketlerine yönelik birkaç Sednit saldırısı, yem olarak spearphishing e-posta kampanyalarını kullandı. Rusya’ya bağlı bir başka grup olan RomCom, Mozilla Firefox (CVE 2024 9680) ve Microsoft Windows’a (CVE 2024 49039) karşı sıfırıncı gün açıklarını kullanarak gelişmiş yeteneklerini gösterdi.
Çin’e bağlı gruplardan yoğun casusluk faaliyetleri
Asya’da, Çin’e bağlı APT grupları devlet kurumlarına ve akademik kurumlara karşı kampanyalarını sürdürdü. Aynı zamanda, Kuzey Kore’ye bağlı tehdit aktörleri Güney Kore’ye yönelik operasyonlarını önemli ölçüde artırmış ve özellikle bireylere, özel şirketlere, elçiliklere ve diplomatik personele odaklanmıştır. Mustang Panda, Korplug yükleyiciler ve kötü niyetli USB sürücüler aracılığıyla devlet kurumlarını ve deniz taşımacılığı şirketlerini hedef alarak en aktif aktör olmaya devam etti. DigitalRecyclers, KMA VPN anonimleştirme ağını kullanarak ve RClient, HydroRShell ve GiftBox arka kapılarını dağıtarak AB devlet kurumlarını hedef almaya devam etti. PerplexedGoblin, ESET’in NanoSlate adını verdiği yeni casusluk arka kapısını bir Orta Avrupa devlet kuruluşuna karşı kullanırken Webworm SoftEther VPN kullanarak bir Sırp devlet kuruluşunu hedef aldı ve bu aracın Çin’e bağlı gruplar arasında devam eden popülerliğini vurguladı.
Kuzey Kore kaynaklı saldırılar Güney Kore ve kripto sektörüne yöneldi
Asya’nın başka yerlerinde, Kuzey Kore’ye bağlı tehdit aktörleri özellikle finansal motivasyonlu kampanyalarda aktifti. DeceptiveDevelopment, öncelikle kripto para birimi, blok zinciri ve finans sektörlerindeki sahte iş ilanlarını kullanarak hedefini önemli ölçüde genişletti. Grup, çok platformlu WeaselStore kötü amaçlı yazılımını dağıtmak için yenilikçi sosyal mühendislik teknikleri kullandı. FBI tarafından TraderTraitor APT grubuna atfedilen Bybit kripto para hırsızlığı, Safe{Wallet}’ın yaklaşık 1,5 milyar USD’lik kayıplara neden olan bir tedarik zinciri tehlikeye atılmasını içeriyordu. Bu arada, Kuzey Kore’ye bağlı diğer grupların operasyonel tempolarında dalgalanmalar görüldü: 2025’in başlarında, Kimsuky ve Konni, 2024’ün sonunda gözle görülür bir düşüşün ardından olağan faaliyet seviyelerine geri döndü ve hedeflerini İngilizce konuşan düşünce kuruluşlarından, STK’lardan ve Kuzey Kore uzmanlarından uzaklaştırarak öncelikle Güney Koreli kuruluşlara ve diplomatik personele odaklandı. Andariel ise bir yıllık hareketsizliğin ardından Güney Koreli bir endüstriyel yazılım şirketine yönelik sofistike bir saldırıyla yeniden ortaya çıktı.
İran bağlantılı APT’ler Orta Doğu’da aktifliğini sürdürüyor
İran’a bağlı APT grupları, ağırlıklı olarak İsrail’deki imalat ve mühendislik sektörlerindeki devlet kurumlarını ve kuruluşlarını hedef alarak Orta Doğu bölgesine odaklanmaya devam etti. Ayrıca ESET, teknoloji şirketlerine yönelik siber saldırılarda, büyük ölçüde Kuzey Kore bağlantılı DeceptiveDevelopment’ın artan faaliyetlerine atfedilen önemli bir küresel artış gözlemledi.
ESET Tehdit Araştırmaları Direktörü Jean-Ian Boutin “Vurgulanan operasyonlar, bu dönemde araştırdığımız daha geniş tehdit ortamını temsil ediyor. Temel eğilimleri ve gelişmeleri göstermektedirler ve ESET APT raporlarının müşterilerine sağlanan siber güvenlik istihbarat verilerinin yalnızca küçük bir bölümünü içermektedirler” dedi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
