Kaspersky, Evasive Panda adlı tehdit aktörü tarafından yürütülen sofistike bir siber casusluk kampanyasına ilişkin yeni bulgularını paylaşıyor. Saldırganlar, zararlı yazılımları meşru sistem süreçlerine enjekte ederek çalıştırmayı başardı ve ele geçirilen sistemlerde uzun süre tespit edilmeden kalmayı başardı. Operasyon, Kasım 2022 ile Kasım 2024 arasını kapsıyor ve Türkiye, Çin ile Hindistan’ı hedef alıyor; bazı enfeksiyonlar bir yıldan uzun süre devam etti.Güçlü bir şekilde güncellenen tuzaklar, SohuVA, iQIYI Video, IObit Smart Defrag ve Tencent QQ gibi popüler Windows uygulamalarına ait güncelleme görünümlü sahte yazılımları içeriyordu. Bu sahte güncelleyiciler, güvenilir yazılımlarla uyumlu görünmesi için tasarlanmış olup saldırganların kötü amaçlı faaliyetlerini erken aşamada fark ettirmeden başlatmasına olanak sağladı. Ayrıca DNS zehirleme yöntemiyle zararlı bir bileşenin kendi sunucularından dağıtılması sağlanarak, bu bileşenin meşru bir internet sitesi üzerinden barındırıldığı izlenimini verdi.
Saldırının merkezinde, MgBot adlı modüler zararlı yazılım çerçevesi bulunuyor. Evasive Panda tarafından en az 2012’den beri kullanılan ve tuş kaydı, dosya hırsızlığı ile komut çalıştırma gibi işlevlerle genişletilen MgBot, 2022–2024 döneminde yeni yapılandırmalarla güncellendi. Bu güncellemeler arasında birden fazla komuta-kontrol (C2) sunucusunun devreye alınması yer alıyor; böylece saldırılar kesintisiz devam edebiliyor ve uzun süreli erişim sağlanıyor.Kaspersky güvenlik uzmanı Fatih Sensoy, konuya ilişkin şu değerlendirmeyi paylaşıyor: “Bu kampanya, saldırganların savunma mekanizmalarından kaçınma çabalarını ve MgBot gibi güvenilir araçları yeniden kullanma stratejilerini net biçimde gösteriyor. İki yıllık bu operasyon, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlere kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı gözler önüne seriyor. Özellikle dikkat çekici olan nokta, implantların sunucu tarafında işletim sistemi ortamına özel olarak uyarlanması; bu da hedefli bir casusluk faaliyetine olanak tanıyor. Kurumların bu tür uzun soluklu kampanyalara karşı, tehdit istihbaratına dayalı proaktif güvenlik önlemleri alması büyük önem taşıyor.””Kaspersky, kurumları ve bireysel kullanıcıları bu tür tehditlere karşı dikkatli olmaya çağırıyor. Araştırmanın sonuçlarına dayanarak şu öneriler paylaşılıyor:
- Güncelleme süreçlerinde çok faktörlü kimlik doğrulama uygulanmalı; paketlerin beklenmeyen konumlandırmaları veya bilinen zararlı şablonlarla kod benzerlikleri gibi anomalilere karşı uç nokta güvenlik çözümleri ve EDR yetenekleri derinlemesine incelenmelidir.
- Ağ izleme yetkinlikleri güçlendirilerek Ortadaki Adam (Adversary-in-the-Middle) saldırılarının göstergeleri tespit edilmelidir; DNS yanıtları ve ağ trafiği, zehirleme veya müdahale belirtileri açısından düzenli olarak denetlenmelidir.
- Kullanıcılar, güvenilir tedarikçilerden geliyormuş gibi görünen sahte güncelleme oltalamalarını ayırt edebilmek için farkındalık ve eğitim çalışmalarını artırmalıdır.
- Bireyler, güvenilir ve güvenli koruma çözümleri kullanarak sistemlerinde proaktif zararlı yazılım taramaları gerçekleştirmelidir.
