ESET APT Raporu Q4 2023-Q1 2024, ESET araştırmacıları tarafından Ekim 2023’ten Mart 2024 sonuna kadar belgelenen seçilmiş gelişmiş kalıcı tehdit (APT) gruplarının önemli faaliyetlerini özetlemektedir. Vurgulanan operasyonlar, bu dönemde araştırdığımız daha geniş tehdit ortamını temsil ediyor, temel eğilimleri ve gelişmeleri gösteriyor ve ESET’in özel APT raporlarının müşterilerine sağlanan siber güvenlik istihbarat verilerinin yalnızca bir kısmını içeriyor.

İzlenen zaman diliminde, Çin’e bağlı birkaç tehdit aktörü, VPN’ler ve güvenlik duvarları gibi kamuya açık cihazlardaki ve Confluence ve Microsoft Exchange Server gibi yazılımlardaki güvenlik açıklarından yararlanarak birden fazla sektördeki hedeflere ilk erişimi sağlamıştır. I-SOON’dan (Anxun) gelen veri sızıntısına dayanarak, bu Çinli yüklenicinin gerçekten de siber casusluk yaptığını doğrulayabiliriz. Şirketin faaliyetlerinin bir kısmını FishMonger grubu altında takip ediyoruz. Bu raporda ayrıca Çin’e bağlı yeni bir APT grubu olan CeranaKeeper’ı da tanıtıyoruz; bu grup kendine has özellikleriyle dikkat çekiyor ancak muhtemelen Mustang Panda grubuyla dijital bir çeyrek yöneticiyi paylaşıyor.

Ekim 2023’te Hamas İsrail gerginliğinin ardından, İran’a bağlı tehdit gruplarının faaliyetlerinde önemli bir artış tespit ettik. Özellikle MuddyWater ve Agrius daha önce odaklandıkları siber casusluk ve fidye yazılımlarından sırasıyla erişim aracılığı ve etki saldırılarını içeren daha agresif stratejilere geçiş yaptı. Bu arada, OilRig ve Ballistic Bobcat faaliyetlerinde bir gerileme görüldü ve bu da İsrail’i hedef alan daha dikkat çekici, “daha yüksek sesli” operasyonlara doğru stratejik bir kayma olduğunu gösteriyor. Kuzey Kore’ye bağlı gruplar havacılık ve savunma şirketlerini ve kripto para sektörünü hedef almaya devam etmiş, tedarik zinciri saldırıları düzenleyerek, truva atlı yazılım yükleyicileri ve yeni kötü amaçlı yazılım türleri geliştirerek ve yazılım açıklarından faydalanarak ticari becerilerini geliştirmişlerdir.

Rusya’ya bağlı gruplar faaliyetlerini Avrupa Birliği içinde casusluk ve Ukrayna’ya yönelik saldırılar üzerinde yoğunlaştırdı. Ayrıca, ESET araştırmacıları tarafından ortaya çıkarılan bir dezenformasyon ve psikolojik operasyon (PSYOP) olan Texonto Operasyonu kampanyası, Rusya seçimleriyle ilgili protestolar ve Ukrayna Kharkiv’deki durum hakkında yanlış bilgiler yayarak, yurt içinde ve yurt dışında Ukraynalılar arasında belirsizliği artırıyor.

Ek olarak, Kazakistan’ın çıkarlarıyla uyumlu olduğuna inandığımız bir grup olan SturgeonPhisher tarafından Orta Doğu’da yürütülen bir kampanyaya dikkat çekiyoruz. Ayrıca, Pakistan tarafından yönetilen tartışmalı bir bölge olan Gilgit-Baltistan hakkında bölgesel bir haber sitesine yapılan bir sulama deliği saldırısını tartışıyoruz ve son olarak, Belarus’un çıkarlarıyla uyumlu olduğunu değerlendirdiğimiz bir grup olan Winter Vivern tarafından Roundcube’deki bir sıfır gün açığının istismarını açıklıyoruz.

ESET APT Raporu Q4 2023-Q1 2024’te açıklanan kötü amaçlı faaliyetler ESET ürünleri tarafından tespit edilmiştir; paylaşılan istihbarat çoğunlukla tescilli ESET telemetri verilerine dayanmaktadır ve ESET araştırmacıları tarafından doğrulanmıştır.

Hedeflenen ülkeler ve sektörler

Saldırı kaynakları

ESET APT Raporu, ESET APT Reports PREMIUM’da sağlanan siber güvenlik istihbarat verilerinin yalnızca bir kısmını içerir. Daha fazla bilgi için ESET Threat Intelligence web sitesini ziyaret edin.