BİLİM VE TEKNOLOJİ

"Güney Afrika'da APT41 Saldırısı: Siber Casusluk Tehditi"

21.07.2025 (31 Gün, 21 Saat önce) 5,88 B

Kaspersky Managed Detection and Response uzmanları, Güney Afrikalı bir kuruluşa yönelik bir siber casusluk saldırısını gözlemliyor ve bunu Çince konuşan APT41 grubuyla ilişkilendiriyor

Kaspersky Managed Detection and Response uzmanları, Güney Afrika'daki bir kuruluşu hedef alan bir siber casusluk saldırısını gözlemledi ve bu olayı Çince konuşan APT41 grubuyla ilişkilendirdi. Saldırganlar bölgedeki kamu BT hizmetlerini hedef alarak, kimlik bilgileri, dahili belgeler, kaynak kodu ve diğer hassas kurumsal verileri çalmaya çalıştı. APT (Gelişmiş Kalıcı Tehdit) kategorisindeki bu tehdit, genellikle belirli kuruluşları hedef alarak gizli ve sürekli saldırılar gerçekleştirmesiyle bilinir.

Güney Afrika'daki saldırı sırasında gözlemlenen teknikler, Kaspersky güvenlik uzmanlarının saldırıyı yüksek ihtimalle APT41 grubuna atfetmelerine yardımcı oldu. Saldırganlar, ele geçirdikleri makineler aracılığıyla kuruluşun ağındaki hassas verileri toplamaya çalıştı. APT41, siber casusluk konusuna odaklanmış bir grup olup, telekomünikasyon, eğitim, sağlık, BT ve enerji gibi çeşitli sektörlerdeki kuruluşları hedef alıyor. Grubun 42'den fazla ülkede faaliyet gösterdiği biliniyor.

Kaspersky uzmanlarının analizine göre, saldırganlar, kuruma erişim sağlamak için internetten açılan bir web sunucusunu kullanmış olabilir. Ayrıca, iki ayrı kurumsal etki alanı hesabını ele geçirdiler: biri tüm iş istasyonlarında yerel yönetici hakları olan bir hesap, diğeri ise etki alanı yöneticisi ayrıcalıklarına sahip bir yedekleme çözümüne ait hesap. Bu hesaplar, saldırganların kurumsal sistemlere daha fazla erişim sağlamalarına olanak tanıdı.

Saldırıda kullanılan hırsızlık araçlarından biri, verileri dışa aktarıp şifresini çözmek için modifiye edilen Pillager adlı bir yardımcı programdı. Saldırganlar, bu aracı çalıştırılabilir bir dosyadan Dinamik Bağlantı Kitaplığı'na (DLL) derlediler ve tarayıcılardan, veritabanlarından ve yönetim araçlarından kaydedilen kimlik bilgileri ile proje kaynak kodları, ekran görüntüleri, aktif sohbet oturumları gibi bilgileri toplamayı amaçladılar.

Saldırı sırasında kullanılmaya devam eden başka bir hırsızlık aracı ise Checkout oldu. Bu araç, kaydedilmiş kimlik bilgilerini, tarayıcı geçmişini, indirilen dosyaları ve tarayıcıda depolanan kredi kartı bilgilerini toplayabiliyordu. Saldırganlar ayrıca, RawCopy adlı bir yardımcı programla birlikte Mimikatz'ın DLL sürümünü kullanarak kayıt dosyalarını ve kimlik bilgilerini ele geçirdiler. Ele geçirilen sistemlerde Komuta ve Kontrol (C2) iletişimi için Cobalt Strike kullanıldı.

Denis Kulik, Kaspersky Managed Detection and Response Lider SOC Analisti, saldırganların Cobalt Strike'ın yanı sıra, C2 iletişim kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiklerini belirtti. Bu sunucu, mevcut ve şüphe uyandırmayan bir dahili hizmet olduğundan, saldırganların burada özel C2 araçları kullanarak iletişim kurmayı tercih etmeleri anlaşılabilir bir durumdu. Bu şekilde, meşru bir iletişim kanalı aracılığıyla veri sızdırmak ve güvenliği ihlal edilmiş ana bilgisayarları kontrol etmek için uygun bir yol sağladılar.

Kaspersky, bu tür saldırılara karşı savunma yapmanın, yeterli uzmanlık ve sürekli altyapı izlenimi olmadan mümkün olmadığını vurguluyor. Kötü niyetli aktiviteleri hızlı bir şekilde teşhis edebilen çözümlerle tüm sistemlerde tam güvenlik sağlanması ve kullanıcı hesaplarına aşırı ayrıcalık verilmesinden kaçınılması gerektiği belirtiliyor. Kaspersky, kuruluşların aşağıdaki en iyi uygulamaları takip etmelerini tavsiye ediyor:

  • Güvenlik araçlarının, istisnasız olarak tüm iş istasyonlarına konuşlandırıldığından emin olun. Bu, olayların zamanında tespit edilmesine ve olası hasarın en aza indirilmesine yardımcı olacaktır.
  • Hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirin ve kontrol edin, çoklu ana bilgisayarlar içinde aşırı hak atamalarından kaçının.
  • Her büyüklükteki ve sektördeki kuruluşlar için gerçek zamanlı koruma, tehdit görünürlüğü ve EDR/XDR yanıt yetenekleri sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın.
  • Tüm olay yönetimi döngüsünü kapsayan, tehdit tanımlamadan sürekli koruma ve düzeltmeye kadar Kaspersky'nin Compromise Assessment, Managed Detection and Response ve Incident Response gibi yönetilen güvenlik hizmetlerini benimseyin.
  • InfoSec profesyonellerinize sisteminizi hedef alan siber tehditler hakkında derinlemesine bir görünürlük sağlayarak, Kaspersky Tehdit İstihbaratı'nın zengin içeriği ile siber riskleri zamanında tespit etmelerine yardımcı olun.

Kaspersky Managed Detection and Response hizmeti, şüpheli etkinlikleri izleyip, kuruluşların saldırının etkisini en aza indirmek için hızlı bir şekilde yanıt vermelerini sağlar. Bu hizmet, Fortune Global 500 kuruluşları için olay müdahalesi, yönetilen tespit, SOC danışmanlığı gibi birçok bilgi güvenliği projesi sunan Kaspersky Security Services ekibinin bir parçasıdır.