Petrol firmaları, bilimsel araştırma merkezleri ve enstitüleri, üniversiteler, özel şirketler, hükümetler ve devlet kurumları, elçilikler ve askeri yüklenicileri hedef alan NetTraveler’a ait yeni bir saldırı tespit edildi.
Dünyanın uç nokta koruma çözümlerinde lider şirketi Kaspersky Lab araştırmacıları, 40’ı aşkın ülkede, yüzlerce üst düzey kullanıcıyı şimdiden etkilemeyi başaran NetTraveler’a ait yeni bir saldırı vektörünü duyurdu (‘Travnet’ veya ‘Netfile’ olarak da biliniyor). NetTraveler’ın bilinen hedefleri arasında, Tibetli/Uygurlu eylemciler, petrol firmaları, bilimsel araştırma merkezleri ve enstitüleri, üniversiteler, özel şirketler, hükümetler ve devlet kurumları, elçilikler ve askeri yükleniciler bulunuyor.
NetTraveler operasyonlarının bu yılın haziran ayında kamuoyuna yansımasının hemen ardından saldırganlar, bilinen tüm komut ve kontrol sistemlerini devreden çıkararak, hepsini Çin, Hong Kong ve Tayvan’daki yeni sunuculara taşıdılar. Yaşanan en son olayda da görüleceği üzere saldırılarına hiçbir engel olmadan devam ettiler.
Geçtiğimiz son birkaç gün içinde, birden çok Uygur eylemcisine çok sayıda spear kimlik avı e-postaları gönderildi. Red Star APT’nin bu yeni değişkenini dağıtan Java açıklarından yararlanan yazılımı haziran 2013’te düzeltilmiştir ve başarı oranı daha yüksektir. Daha önce Office açıklarından faydalanarak yapılan saldırılar, Microsoft tarafından geçtiğimiz Nisan’da onarılmıştır.
Bu spear kimlik avı e-postalarının kullanımına ek olarak, APT operatörleri kurbanları internette dolaşırken etkilemek için web yönlendirmeleri ve dosya indirme ile etkinleşen sulama tekniği adı verdikleri yeni bir teknik kullanmaya başladılar.
Geçtiğimiz ay, Kaspersky Lab daha önceki NetTraveler saldırılarıyla ilişkisi bilinen “wetstock[dot]org alanından yayılmaya çalışan bir çok saldırı girişimini tespit ve bloke etti. Bu yönlendirmeler daha önce NetTraveler saldırganlarından etkilenen diğer Uygur ilişkili web sitelerinden gelmiş gibi duruyor.
Kaspersky Lab Global Araştırma ve Analiz Ekibinin (GReAT) uzmanları, son zamanlarda ortaya çıkan diğer açıklardan yararlanma yazılımlarının entegre edilerek grubun hedeflerine karşı kullanılabileceğini söylüyor ve bu saldırılara karşı nasıl güvende kalınabileceği hakkında şu önerilerde bulunuyor:
● Java’yı en son sürümü ile güncelleyin; Java kullanmıyorsanız programı kaldırın.
●Microsoft Windows’u ve Office programlarını en son sürümleri ile güncelleyin.
●Adobe Reader gibi tüm üçüncü taraf yazılımlarını güncelleyin.
●Windows’un varsayılan tarayıcısı Internet Explorer’dan daha hızlı bir geliştirme ve düzeltme döngüsü olan Google Chrome gibi güvenli bir tarayıcı kullanın.
●Tanımadığınız kişilerden gelen bağlantılara tıklamak ve eklentileri açmak konusunda tedbirli olun.
Kaspersky Lab Global Araştırma ve Analiz Ekip Başkanı Costin Raiu, “NetTraveler grubunun şimdiye kadar sıfır günlük zayıf noktaları kullandıklarına şahit olmadık. Bunlarla yapılan mücadelede düzeltmeler etkili olmasa da, Otomatik Açıklardan Yararlanma Amaçlı Kod Engelleme ve DefaultDeny gibi teknolojiler gelişmiş ısrarcı tehditlerle savaşmak konusunda oldukça etkili olabiliyor” açıklamasını yaptı
Son Yorumlar