Çinli tehdit gruplarından biri olan APT41, küresel nakliye ve lojistik, medya ve eğlence, teknoloji ve otomotiv endüstrileri de dahil olmak üzere birçok kilit sektördeki kuruluşları hedef alarak, süreklilik gösteren saldırılar ile siber casusluk kampanyası yürütüyor.
Gelişmiş sürekli tehdit (APT) aktörü, yeni saldırı kampanyasını 2023 yılının başlarında başlatmış gibi görünüyor. O zamandan beri grup, birçok kurbanın ağlarına başarılı bir şekilde sızdı ve bu ağlara sahiplerince tespit edilemeyen uzun süreli izinsiz erişimini sürdürdü. Etkilenen kuruluşların çoğu Birleşik Krallık, İtalya, İspanya, Tayvan, Tayland ve Türkiye'de bulunuyor.
APT41, 2012'den bu yana küresel çapta siber casusluk, tedarik zinciri saldırıları ve finansal motivasyonlu saldırılar gibi siber suçlara yönelen ve Çin merkezli olan tehdit aktörlerini kapsayan bir terimdir. Yıllar içinde güvenlik araştırmacıları, APT41 kollektifine dahil olan Wicked Panda, Winnti, Suckfly ve Barium gibi birçok alt grubu tanımladı. Bu gruplar, ABD kuruluşları ve dünya çapındaki diğer varlıklardan Çin hükümeti adına ticari sırları, fikri mülkiyetleri, sağlıkla ilgili verileri ve diğer hassas bilgileri çaldı. 2020 yılında ABD hükümeti, dünya genelinde 100'den fazla şirkete yapılan saldırılara katıldıkları veya katkıda bulundukları gerekçesiyle APT41'in beş üyesini suçladı. Ancak bu suçlamalar, grubun faaliyetlerini şimdiye kadar caydırmak için pek bir işe yaramadı. APT41'in Saldırdığı Sektörler ve Yaygın Coğrafi Etkisi
Nakliye ve lojistik sektöründe hedeflenen kuruluşların neredeyse tamamı Orta Doğu ve Avrupa'da bulunurken, medya ve eğlence sektöründe hedeflenen tüm kuruluşlar Asya'da yer almaktadır. Nakliye ve lojistik sektöründeki birçok kurban, aynı sektördeki büyük çok uluslu şirketlerin yan kuruluşları veya bağlı kuruluşları olarak birçok kıtada operasyonlara sahiptir.
Özel Siber Casusluk Araçları
Araştırmacılar ayrıca APT41 aktörlerinin devam eden saldırı kampanyasında kötü amaçlı yazılım yüklemek, arka kapılar oluşturmak, ele geçirilen ağlarda yatay hareket etmek ve verileri dışarı çıkarmak için bir dizi özel araç kullandığını gözlemledi. Araçlar, AntsWord ve BlueBeam adlı iki web kabuğu içeriyor ve tehdit aktörü, bu araçları kullanarak DustPan adlı bir yükleyiciyi indiriyor ve bu yükleyici, kurban sistemlerinde Beacon sonrası uzlaşma aracını yüklemeye çalışıyor. APT41 aktörlerinin şu an etkili bir şekilde kullandığı diğer araçlar arasında Oracle Veritabanlarından veri kopyalamak için SQLULDR2 adlı kötü amaçlı yazılım ve ele geçirilen ağdan büyük miktarda veriyi analiz etmek için bir OneDrive hesabına dışarı çıkarmak üzere PineGrove adlı kötü amaçlı yazılım da yer alıyor. Araştırmacılar şu ana kadar, APT41'in mevcut saldırı kampanyasında saldırılarını herhangi bir şekilde paraya çevirmeye çalıştığına dair hiçbir kanıt bulamadı. Ancak, uzlaşma sonrası faaliyetler hakkında tam bir bilgiye sahip olmadıklarını ve bu yüzden kesin olarak söyleyemeyeceklerini de eklediler.
Bu ve benzeri zafiyetlere karşı korunmasız kalmamak ve bunlardan etkilenmemek için size en yeni çözümümüzü öneriyoruz; yeni ZTNA çözümümüz TINA ISOLATOR ile ilgili detaylı bilgi ve sunum için bizi arayın.
Bizi arayın: 0216 450 25 94 [email protected] |
|