BlackCat veya diğer adıyla ALPHV fidye yazılımı çetesi, Las Vegas’taki konaklama ve eğlence şirketi olan MGM Resorts’a sızarak hizmetlerde kesintilere yol açtı.
Siber tehdit aktörleri, MGM Resorts’u işlevsiz hâle getirmenin 10 dakikalık bir telefon görüşmesiyle gerçekleştiğini iddia etti.
KÜRESEL OTEL ŞİRKETİNİ KESİNTİYE UĞRATTILAR
Kötü amaçlı yazılım arşivi vx-underground tarafından yayınlanan bir gönderiye göre, ALPHV/BlackCat fidye yazılımı grubu, geçtiğimiz günlerde MGM Resorts siber kesintisinin sorumluluğunu üstlendi.
Çete, MGM Resorts’tan fidye almak için yaygın sosyal mühendislik taktiklerini ve içeriden bilgi almak için çalışanların güvenini kazanmayı tercih ettiğini belirtti.
İLK ERİŞİM ON DAKİKALARINI ALDI
Çeteye göre uluslararası otel şirketine sızmak, bir şirket çalışanıyla yapılan on dakikalık telefon konuşmasıyla gerçekleşti.
Çetenin yaptığı açıklamada “ALPHV fidye yazılımı grubunun MGM Resorts’a saldırmak için yaptığı tek şey LinkedIn’e girmek, bir çalışan bulmak ve ardından Yardım Masasını aramaktı.” ifadeleri kullanıldı.
Şirket, Las Vegas’ta bulunan kumarhanelerindeki slot makinelerinin kapandığını fark etmesiyle birlikte kesintiler yaşamaya başladı. Bir süre faaliyet gösteremeyen şirket, bir süre sonra açıklama yaparak “Yemek, eğlence ve oyun dâhil olmak üzere tüm tesislerimiz şu anda faaliyette.” açıklamasında bulundu.
BlackCat ya da ALPHV, Windows ve Linux gibi farklı işletim sistemleri için kötü amaçlı yazılımların kolayca özelleştirilmesine olanak tanıyan platformlar arası bir programlama dili olan Rust’u ilk kez başarıyla kullanmasıyla bilinen bir fidye yazılımı grubu.
Grup, birden fazla işletim sistemini hedef almalarına ve Rust ile yazılmış kötü amaçlı yazılımları analiz etmek için tasarlanmamış güvenlik kontrollerini atlamalarına olanak tanıyan Rust’u kullanarak tespit edilmekten kurtulmayı ve kurbanlarının dosyalarını başarıyla şifrelemeyi başarmakla öne çıkıyor.
Grup, RaaS (Hizmet Olarak Fidye Yazılımı) ortaklık programını ilk olarak Aralık 2021’de orijinal adı ALPHV olan bir dark web forumunda duyurdu. Grup yaklaşık olarak Aralık 2021’den bu yana faaliyet gösteriyor.
Geçtiğimiz yıl siber güvenlik ekipleri en çok hangi siber tehditlere karşı test yaptı? Test sayıları açısından 2022’nin en endişe verici tehditlerine göz atmak, siber güvenlik ekiplerini belirli tehditlere karşı ne kadar savunmasız olduklarını kontrol etmeye neyin yönelttiğine dair bir bakış açısı sunuyor.
En endişe verici beş tehdidinden dördünün doğrudan devlet bağlantılı olduğu göz önüne alındığında, siber güvenlik ekipleri için en yakıcı tehdit endişelerinin temelinde jeopolitik gerilimler olduğu ortaya çıkıyor.
İşte 1 Ocak- 1 Aralık 2022 tarihleri arasında İsrailli siber güvenlik firması Cymulate ile dayanıklılığı doğrulamak için en çok test edilen tehditler:
MANJUSAKA’DA ÇİN BAŞ ŞÜPHELİ
Cobalt Strike ve Sliver framework (her ikisi de ticari olarak üretilmiş ve iyi niyetli hackerlar için tasarlanmış ancak tehdit aktörleri tarafından kötüye kullanılmış) kötü niyetli aktörler tarafından yaygın olarak kullanılma potansiyeline sahip yazılımlar. Rust ve Golang dillerinde yazılmış olan ve kullanıcı ara yüzü Basit Çince olan bu yazılım Çin menşelidir.
Manjusaka, Rust’ta Windows ve Linux implantları taşıyor ve özel implantlar oluşturma imkanı ile birlikte hazır bir C2 sunucusunu ücretsiz olarak kullanıma sunuyor.
Manjusaka en başından beri suç amaçlı kullanım için tasarlandı. Ücretsiz dağıtıldığı ve Cobalt Strike, Sliver, Ninja, Bruce Ratel C4 gibi ticari olarak mevcut simülasyon ve emülasyon çerçevelerinin kötüye kullanımına olan bağımlılığı azaltacağı için 2023’te suç amaçlı kullanımı artabilir. Manjusaka’nın geliştiricilerinin devlet destekli olduğuna dair herhangi bir kanıt olmasa da Çin yine baş şüpheli durumda.
POWERLESS ARKA KAPI
Powerless Backdoor, PowerShell denetleyicisinden kaçınmak için tasarlanmış bir arka kapı tehdidi. Geçtiğimiz yıl özellikle İran ile bağlantılı tehditler arasında en popüleri olarak dikkat çekti. Yetenekleri arasında tarayıcı için bilgi hırsızlığı ve keylogger indirmek, verileri şifrelemek ve şifresini çözmek, rastgele komutlar çalıştırmak ve bir süreç sonlandırma işlemini (kill process) etkinleştirmek yer alıyor.
İran’a atfedilen anlık tehditlerin sayısı 8’den 17’ye yükselmiş. Ancak, 14 Eylül’de ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi’nin (OFAC) İranlı siber aktörlere yönelik getirdiği yaptırımlardan bu yana Tahran’a atfedilen tek bir saldırıya kadar düşerek önemli ölçüde yavaşladı.
Ülkedeki mevcut siyasi gerilimlerin 2023’teki saldırıların sıklığını etkileyeceği düşünülüyor. Ancak bu aşamada bunların artıp azalmayacağını değerlendirmek zor.
ABD EYALETLERİNİ HEDEF ALAN APT 41
Halihazırda 2021’de çok aktif olarak işaretlenmiş olan APT41, 2022’de yavaşlama belirtisi göstermedi. Çin destekli bir saldırgan grup faaliyeti olarak bilinen APT41’e yönelik araştırmalar, ABD eyalet hükümetlerini hedef alan kasıtlı bir kampanyanın kanıtlarını ortaya koyuyor.
APT 41 Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute ve Sublist3r gibi keşif araçları kullanıyor. Ayrıca kimlik avı, watering hole ve tedarik zinciri saldırıları gibi çok çeşitli saldırı türleri başlatıyor ve kurbanlarını başlangıçta tehlikeye atmak için çeşitli güvenlik açıklarından yararlanıyor. Son zamanlarda, web sitelerinde SQL enjeksiyonları gerçekleştirmek için ilk saldırı vektörü olarak halka açık SQLmap aracını kullandıkları görülmüştür.
Geçtiğimiz yıl kasım ayında, APT 41 (ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon) ile ilişkili halihazırda uzun olan takma isimler listesine Earth Longhi adlı yeni bir alt grup katıldı. Earth Longhi’nin Tayvan, Çin, Tayland, Malezya, Endonezya, Pakistan ve Ukrayna’da birden fazla sektörü hedef aldığı tespit edildi.
2022 tarihli Microsoft Dijital Savunma Raporu’na göre, “Çin kaynaklı saldırıların çoğu, daha önce güvenlik topluluğu tarafından bilinmeyen ve “yazılımdaki kendine özgü yamalanmamış açıklar” olan “sıfırıncı gün açıklarını” bulma ve bunları toplama yeteneğinden güç alıyor. Çin’in bu güvenlik açıklarını toplaması, Çin’deki kuruluşların keşfettikleri güvenlik açıklarını başkalarıyla paylaşmadan önce hükümete bildirmelerini gerektiren yeni bir yasanın hemen ardından artmış görünüyor.”
SAVUNMA SEKTÖRÜNE LOLZARUS KİMLİK AVI SALDIRISI
LolZarus olarak adlandırılan bir kimlik avı saldırıları kapsamında, ABD’deki savunma sektörüne iş başvurusu yapanlar hedef alınıyor. Söz konusu saldırılar ilk olarak Qualys Threat Research tarafından tespit edilmiş ve Kuzey Koreli tehdit aktörü Lazarus’a (AKA Dark Seoul, Labyrinth Chollima, Stardust Chollima, BlueNoroff ve APT 38) atfedilmiş. Kuzey Kore’nin Keşif Genel Bürosu’na bağlı olan bu grup hem siyasi hem de mali motivasyona sahip ve en çok 2016’da Sondy’ye yapılan yüksek profilli saldırı ve 2017’de WannaCry fidye yazılımı saldırısı ile tanınıyor.
LolZarus kimlik avı kampanyası, Lockheed_Martin_JobOpportunities.docx ve salary_Lockheed_Martin_job_opportunities_confidential.doc adlı en az iki kötü niyetli belgeye dayanıyor. Bu belgeler, kullanılan API’yi yeniden adlandırmak için takma adlara sahip makroları kötüye kullanıyor ve saldırı düzenlenmesini otomatik hale getirme noktasında ActiveX Frame1_Layout’a güveniyor. Makro daha sonra WMVCORE.DLL Windows Media dll dosyasını yükleyerek kontrolü ele geçirmeyi ve Komuta & Kontrol sunucusuna bağlanmayı amaçlayan ikinci aşama kabuk kodu yükünü göndermeye yardımcı oluyor.
Bu yıl CISA tarafından dile getirilen diğer iki Kuzey Kore saldırısı arasında Maui fidye yazılımı kullanımı ve kripto para hırsızlığı faaliyeti yer alıyor. Lazarus alt grubu BlueNoroff, bu yıl kripto para birimi uzmanlığının dışına çıkarak kripto para birimiyle bağlantılı SWIFT sunucularını ve bankaları da hedef almış görünüyor. Cymulate, 1 Ocak 2022’den bu yana yedi acil tehdidi Lazarus ile ilişkilendirdi.
INDUSTROYER2
Ukrayna ile Rusya arasında baş gösteren çatışma nedeniyle yüksek alarm durumu, yüksek voltajlı elektrik trafo merkezlerini hedef alan bir siber-fiziksel saldırı girişimini engellemek suretiyle etkinliğini gösterdi. Bu saldırı, 2016’da Ukrayna’daki elektrik santrallerini hedef alan ve Kiev’in bir bölümünün elektriğini yaklaşık bir saat boyunca keserek asgari düzeyde başarılı olan Industroyer siber saldırısının anısına Industroyer2 olarak adlandırıldı.
Industroyer2’nin özelleştirilmiş hedefleme düzeyi, belirli trafo merkezleri için benzersiz parametrelerden oluşan statik olarak belirlenmiş yürütülebilir dosya setlerini içeriyordu.
Ukrayna’nın siber dayanıklılığı ne yazık ki kinetik saldırılara karşı güçsüz ve Rusya artık elektrik santrallerini ve diğer sivil tesisleri yok etmek için daha geleneksel askeri yöntemleri tercih etmiş görünüyor. ENISA’ya göre Ukrayna-Rusya çatışmasının bir yan etkisi de hükümetlere, şirketlere ve genel olarak enerji, ulaşım, bankacılık ve dijital altyapı gibi temel sektörlere yönelik siber tehditlerin yeniden ortaya çıkması.
Sonuç olarak, bu yılın en endişe verici beş tehdidinden dördünün doğrudan devlet bağlantılı olduğu ve beşincisinin arkasındaki tehdit aktörlerinin bilinmediği göz önüne alındığında, siber güvenlik ekipleri için en yakıcı tehdit endişelerinin temelinde jeopolitik gerilimlerin olduğu görülüyor.
Devlet destekli saldırganlar tipik olarak çoğu şirket tarafından erişilemeyen siber kaynaklara erişebildiğinden, karmaşık saldırılara karşı önleyici savunma, güvenlik doğrulamasına ve bağlam içi güvenlik açıklarını belirlemeye ve kapatmaya odaklanan sürekli süreçlere odaklanmalıdır.
