Tedarik zinciri şirketlerine sızdı!

Kaspersky araştırmacıları, geçtiğimiz günlerde Kazakistan'ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde, Orta Doğu ve Türkiye'de on yılı aşkın süredir aktif olan OilRig Gelişmiş Kalıcı Tehdit (APT) grubu tarafından geliştirildiği düşünülen yeni bir kötü amaçlı yazılımın bir dizi saldırı gerçekleştirdiğini duyurdu. Grup, Orta Doğu, Türkiye ve Afrika'daki yüksek profilli devlet kurumlarını siber casusluk amacıyla hedef almasıyla tanınıyor. OilRig APT, genellikle sosyal mühendislik taktiklerini kullanarak kurbanlarının yazılım ve teknik konulardaki açıklarından faydalanıyor. Bununla birlikte Kaspersky uzmanları, grubun araç setini güncellediğini ve üçüncü parti BT şirketleri aracılığıyla hedeflerine sızmak için ısrarcı ve daha gizli yollara başvurduğunu fark etti.

Kaspersky uzmanları, 2022'nin sonlarında başlayan ve devam eden bir araştırma sırasında APT grubunun bölgedeki BT şirketlerinin terminal sunucularına erişmek için PowerShell komut dosyaları çalıştırdığını ve hedefleri hakkında kimlik bilgileri ve hassas veriler topladığını keşfetti. Grup çalınan bilgileri hedeflerine sızmak, Komuta ve Kontrol (C2) iletişimleri gerçekleştirmek ve veri sızdırmak amacıyla Microsoft Exchange Web Hizmetlerine dayanan kötü amaçlı yazılım örneklerini dağıtmak için kullandı. İncelenen kötü amaçlı yazılımın, söz konusu tehdit aktörü tarafından kullanılan eski bir kötü amaçlı yazılımın varyantı olduğu görüldü. Grup, sürekli ve gizli erişim sağlamak için yerel etki alanı parola değişikliklerinin engellenmesini sağlayan yeni bir DLL tabanlı parola filtresi kullandı. Bu sayede saldırganlar, hedeflerin e-posta hizmetleri üzerinden saldırganların kontrolündeki Protonmail ve Gmail adreslerine gönderilen mesajlar aracılığıyla hassas verilerle birlikte güncellenmiş şifreleri de çalmayı başardı.
(Erhan Taylan)