Kaspersky, “Evasive Panda”nın Yeni Siber Casusluk Kampanyasını Gün Yüzüne Çıkardı
Kaspersky, “Evasive Panda” adlı siber saldırı grubunun Türkiye’nin de aralarında bulunduğu ülkeleri hedef alan, uzun soluklu ve yüksek düzeyde gizlilik içeren yeni bir siber casusluk kampanyasını ortaya koydu.
Siber güvenlik şirketi Kaspersky, “Evasive Panda” olarak bilinen gelişmiş siber saldırı grubunun Türkiye, Çin ve Hindistan’ı hedef alan yeni bir siber casusluk operasyonuna ilişkin detaylı bulgular paylaştı. Şirketin açıklamasına göre saldırılar, zararlı yazılımların meşru sistem süreçlerine gizlenmesi yoluyla gerçekleştirildi.
Kasım 2022 ile Kasım 2024 tarihleri arasında aktif olduğu belirlenen kampanya kapsamında, bazı sistemlere yönelik sızmaların bir yılı aşkın süre boyunca fark edilmeden devam ettiği tespit edildi. Bu durum, saldırganların hedef ağlarda uzun vadeli ve kalıcı erişim sağlama konusundaki kararlılığını ortaya koyuyor.
Sahte güncellemelerle kullanıcılar hedef alındı
Araştırmalara göre saldırganlar, SohuVA, iQIYI Video, IObit Smart Defrag ve Tencent QQ gibi yaygın olarak kullanılan Windows uygulamalarının yazılım güncellemeleri gibi görünen aldatıcı dosyalar üzerinden zararlı yazılımları dağıttı. Güvenilir yazılımlar gibi tasarlanan bu sahte güncelleyiciler sayesinde kötü amaçlı faaliyetler ilk aşamada fark edilmeden başlatıldı.
Ayrıca DNS zehirleme tekniği kullanılarak zararlı yazılım bileşenlerinin, popüler ve meşru internet sitelerinde barındırılıyormuş izlenimi yaratacak şekilde dağıtıldığı belirlendi.
Saldırıların merkezinde, Evasive Panda tarafından en az 2012’den bu yana kullanılan ve modüler yapısıyla dikkat çeken MgBot adlı zararlı yazılım bulunuyor. Tuş kaydı alma, dosya hırsızlığı ve uzaktan komut çalıştırma gibi yeteneklere sahip olan MgBot’un, 2022–2024 döneminde yeni yapılandırmalarla güncellendiği kaydedildi. Bu kapsamda, saldırıların kesintisiz sürmesi için birden fazla komuta-kontrol sunucusunun devreye alındığı belirtildi.
“Son derece hedefli bir casusluk faaliyeti”
Kaspersky Güvenlik Uzmanı Fatih Şensoy, saldırı kampanyasının saldırganların savunma sistemlerinden kaçınma konusundaki ileri düzey yeteneklerini ortaya koyduğunu vurguladı. Şensoy, “Saldırı, kullanıcıların günlük hayatta güvendikleri uygulamalardan faydalanarak kritik sistemlerde kalıcı erişim sağlamayı hedefleyen, yüksek kaynak gerektiren ve son derece ısrarlı bir yaklaşımı yansıtıyor. Özellikle implantların sunucu tarafında işletim sistemine özel olarak uyarlanması, son derece hedefli bir casusluk faaliyetine olanak tanıyor” ifadelerini kullandı.
Şensoy ayrıca, kurumların bu tür uzun süreli ve gelişmiş tehditlere karşı tehdit istihbaratına dayalı proaktif güvenlik önlemleri almasının büyük önem taşıdığını belirtti.
Tepkiniz Nedir?
Beğen
0
Beğenmedim
0
Sevgi
0
Komik
0
Kızgın
0
Üzgün
0
Vay Canına
0
