Rus APT29 Bilgisayar Korsanları, Hack İşlemleri İçin DropBox Ve Google Drive'ı Kullanıyor

Hiç şüphe yok ki, çevrimiçi depolama hizmetleri, dünyanın dört bir yanındaki kuruluşlar için günlük operasyonların yönetimi için giderek daha önemli hale geliyor. Bu hizmetler arasında en çok kullanılan ve popüler olanlar şunlardır:

• DropBox
• Google Drive

Bazı hizmetlere genel halk tarafından giderek daha fazla güvenilmesine rağmen, onlara duyulan güvenden yararlanan tehditler vardır. Bu tehdit aktörlerinin amacı, bu teknoloji ve güven sayesinde gelecekte saldırılarını tespit etmeyi ve önlemeyi son derece zorlaştırmaktır.

Son saldırıların, Palo Alto Networks güvenlik uzmanları tarafından APT29 (Cozy Bear, Cloaked Ursa, Nobelium olarak da bilinir) olarak tanımlanan bir APT grubu tarafından gerçekleştirildiği bildirildi.

APT29 grubu, SVR (Rus Dış İstihbarat Servisi) tarafından desteklenen ve birkaç gizli hükümet servisi tarafından işletilen bir Rus hack grubuydu.

Yasal Bulut Hizmetlerini Kötüye Kullanma

Bulut hizmetleri bu grup için yeni bir şey değil, ancak işleri daha karmaşık hale getirmek için güvenilir, meşru olanları çok kullanıyorlar. İlk defa, en son kampanyalarının her ikisi için de Google Drive ve DropBox'ın bulut depolama hizmetlerini kullanabildiler.

Google Drive bulut depolama hizmetlerinin, her yerde bulunan doğaları göz önüne alındığında, bu APT tarafından kullanılan kötü amaçlı yazılım teslim sürecine dahil edilmesiyle ilgili büyük endişeler vardır.

Avrupa'da NATO üyesi bir ülkeye karşı Birim 42'nin 24 Mayıs 2022'de tespit ettiği yeni bir kampanya yürütülüyor. Bu kampanyada, aynı hedef ülkeye kabaca aynı anda birkaç saat arayla iki e-posta gönderildi, bu garipti.

Her iki e-postadaki cazibe belgesi, her iki e-postada da aynı dosya olan Agenda.pdf olarak adlandırıldı. Portekiz'deki bir büyükelçi ile bir toplantı gündemi e-postada bir bağlantı olarak sağlandı.

Yüksek Profilli Hedeflere Saldırı

2020 yılı boyunca, APT29 tarafından gerçekleştirilen SolarWinds tedarik zinciri saldırısının bir sonucu olarak çok sayıda ABD federal ajansı tehlikeye atıldı.

İhlali açıklayan son ABD hükümeti olan ABD Adalet Bakanlığı'na göre, Temmuz ayı sonunda SolarWinds tarafından gerçekleştirilen küresel hack lark sırasında bir dizi ABD Savcılığı ofisi ihlal edildi.

SolarWinds tedarik zinciri saldırısından bu yana, APT29 diğer şirketlerin ağlarını da ihlal etmeyi başardı. Gizli kötü amaçlı yazılımlar, önemli bir süre boyunca tespit edilmeden kalan kampanyalarında kullanılır. Aşağıdakiler gibi kötü amaçlı yazılımlardan yararlanırlar:

• GoldMax (Linux backdoor)
• Trailblazer

Yönetilen hizmet sağlayıcılarına (MSP'ler) ve bulut hizmeti sağlayıcılarına yönelik hedefli saldırılara ek olarak, grup BT tedarik zincirini de hedef aldı.

Microsoft, grubun Mayıs 2021'den bu yana en az 14 şirketi tehlikeye attığını açıkladıktan sonra Ekim ayında davaya katılımını açıkladı.

Bu tehdidi azaltmak için siber güvenlik analistleri, tüm kuruluşların aşağıdaki azaltıcı etkenlere uymalarını şiddetle tavsiye etmiştir:

• E-posta politikalarını yakından inceleyin.
• Sağlanan tüm IoC'leri gözden geçirin.
• 2FA'yı etkinleştirdiğinizden emin olun.
• Güçlü güvenlik ilkeleri uygulayın.
• Uygun güvenlik eğitimi.
• Her zaman sağlam güvenlik araçları kullanın.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.