OilRig tedarik zinciri şirketlerine sızdı!

Kaspersky uzmanları, Orta Doğu ve Türkiye’de OilRig APT’nin artan BT tedarik zinciri saldırıları konusunda uyardı!

Kaspersky araştırmacıları kısa bir süre önce Kazakistan’ın Almatı kentinde düzenlenen Orta Doğu, Türkiye ve Afrika Siber Güvenlik Hafta Sonu 2023 (CSW23) etkinliğinde Orta Doğu ve Afrika’da aktif olan OilRig Advanced Persistent Threat (APT) kümesi tarafından geliştirildiği düşünülen bir sistem ortaya çıkardı. Türkiye on yılı aşkın süredir. yeni bir kötü niyetli yazılımın bir dizi baskın düzenlediğini duyurdu. Küme, siber casusluk için Orta Doğu, Türkiye ve Afrika’daki yüksek profilli devlet kurumlarını hedef almasıyla biliniyor.

OilRig APT, genellikle sosyal mühendislik taktiklerini kullanarak kurbanlarının yazılım ve teknik bahislerdeki güvenlik açıklarından yararlanır. Ancak Kaspersky uzmanları, kümenin araç setini güncellediğini ve amaçlarına üçüncü taraf BT şirketleri aracılığıyla sızmak için ısrarcı ve daha incelikli yollara başvurduğunu fark etti.

2022’nin sonlarında başlayan devam eden bir soruşturma sırasında Kaspersky uzmanları, APT kümesinin bölgedeki BT şirketlerinin terminal sunucularına erişmek için PowerShell betikleri çalıştırdığını ve amaçlarıyla ilgili kimlik bilgilerini ve hassas bilgileri topladığını keşfetti. Küme, çalınan bilgileri, bilgi sızıntısı için Microsoft Exchange Web Hizmetlerine dayalı olarak sızmak, Komuta ve Kontrol (C2) bağlantılarını gerçekleştirmek ve kötü amaçlı yazılım örneklerini dağıtmak amacıyla kullandı. İncelenen kötü amaçlı kötü amaçlı yazılımın, iddia edilen tehdit aktörü tarafından kullanılan eski bir kötü amaçlı kötü amaçlı yazılımın bir çeşidi olduğu bulundu.

Grup, her zaman ve bilinmeyen erişimi sağlamak için yerel etki alanı parola değişikliklerini önlemek için DLL tabanlı yeni bir parola filtresi kullandı. Bu sayede saldırganlar, amaçların e-posta servisleri aracılığıyla kontrollü Protonmail ve Gmail adreslerine gönderilen bildirimler sayesinde hassas verileri ve güncellenen şifreleri çalabilmiştir.

Kaspersky Kıdemli Güvenlik Araştırmacısı Maher Yamut,söz konusu:   “Cybersecurity Weekend 2023 (CSW23) etkinliğinde duyurduğumuz gibi, OilRig, üçüncü taraf BT şirketlerini istismar etmek için kullandığı gelişmiş ve büyük ölçüde değiştirilmiş taktikler, teknikler ve prosedürlerle ‘gizli mod’ kavramını bir sonraki seviyeye taşıyor. Tedarik zincirinin bir parçası olan BT şirketlerine sızmaya yönelik bu radikal değişim, bölgesel devlet kurumlarının siber güvenlik oyunlarını hızlandırdığının ve APT kümelerini alışılmışın dışında düşünmeye zorladığının bir göstergesidir. doğanın.”

Kaspersky araştırmacıları, hükümetlere ve işletmelere bu ipuçlarını takip etmelerini ve üçüncü taraf tedarik zinciri korsanlarının kurbanı olmaktan kendilerini korumalarını tavsiye ediyor:

• Kuruluşunuzun bilgilerini ve varlıklarını sınırlarının ötesinde de koruyan bütünsel, iyi entegre edilmiş bir siber güvenlik yaklaşımına yatırım yapın.
• Tehdit İstihbaratından yararlanmak çok değerlidir. Kaspersky Tehdit İstihbarat Portalı gibi çözümleri kullanmak, BT ekiplerinizi gerçek zamanlı bilgi ve içgörülerle donatabilir ve güçlü savunmalar oluşturmak için güçlü bir uzmanlık kaynağına erişim sağlayabilir.
• Kuruluşunuz içinde bir sızma testi gerçekleştirin ve üçüncü taraf hizmet sağlayıcılarınızı dışlamayın.
• Siber savunmanız ancak ilk savunma hattı olarak kabul edilen çalışanlarınız kadar güçlü olabilir. Her büyüklükteki şirket için siber farkındalık eğitimini otomatikleştiren Kaspersky Otomatik Güvenlik Farkındalık Platformu gibi çözümlerle onları doğru bilgilerle donatın
• Verilerinizi sistematik olarak yedekleyin ve zaman zaman bütünlüğünü kontrol edin.

Kaynak: (BYZHA) Beyaz Haber Ajansı