FINY7 tutuklamalarına rağmen kötü amaçlı faaliyet devam ediyor

Mayıs 21, 2019

Geçtiğimiz yıl Europol ve ABD Adalet Bakanlığı, FIN7 ve Carbanak siber suçlu gruplarının lideri olduklarından şüphelenilen birkaç siber suçluyu tutukladı. Haber bültenleri bu siber çetelerin yenilgisini ilan etti ancak uzmanlarımız hâlâ faaliyetlerinin belirtilerini tespit ediyorlar. Ayrıca benzer araç takımları ve aynı altyapıyı kullanan birbirine bağlı grupların sayısı artıyor. İşte bu grupların asıl araçlarının ve hilelerinin listesiyle beraber işletmelerinizi nasıl güvende tutacağınız üzerine biraz tavsiye.

FIN7

FIN7, finansal verilere veya PoS altyapısına erişmek için işletmelere saldırmak konusunda uzmanlaşmıştır. Grup, sofistike bir sosyal mühendislikle birlikte hedef odaklı kimlik avı saldırılar aracılığıyla çalışıyor. Örneğin, kötü niyetli belgeler göndermeden önce dikkatleri başka yöne çekmek için kurbanlarıyla düzinelerce normal mesaj alışverişinde bulunabilirler.

Çoğu olayda, saldırılar kurbanın bilgisayarına kötü amaçlı yazılım yüklemek için makro içeren kötü amaçlı belgeler ve bunları kalıcı hale getirmek için zamanlanmış görevler kullanıyordu. Daha sonra modülleri alıp sistem belleğinde çalıştırıyordu. Özellikle, bilgi toplamak, kötü amaçlı yazılım indirmek, ekran görüntüleri almak ve (eğer ilki tespit edilirse) aynı kötü amaçlı yazılımın bir başka örneğini kayıt defterinde saklamak için kullanılan modüller gördük. Doğal olarak, siber suçlular istedikleri zaman ek modüller yaratabilirler.

CobaltGoblin/Carbanak/EmpireMonkey grubu

Diğer siber suçlular da yalnızca hedefleri farklılık gösteren (bu olayda, bankalar, bankacılık geliştiricileri ve para işleme yazılımları) benzer araçlar ve teknikler kullanıyorlar. Carbanak (veya CobaltGoblin veya EmpireMonkey) grubunun asıl stratejisi, kurbanların ağlarında bir yer edinmek ve daha sonra paraya çevirebilecekleri bilgileri içeren ilginç uç noktalar bulmaktır.

AveMaria botnet

AveMaria bilgi çalmak için kullanılan yeni bir botnet’tir. Bir makineye virüs bulaştığında, olası tüm kimlik bilgilerini çeşitli yazılımlardan toplamaya başlar: tarayıcılar, e-posta istemcileri, messenger’lar vb. Aynı zamanda tuş kaydedici gibi de çalışır.

İçeriği iletmek için, kötü niyetli kişiler hedef odaklı kimlik avı, sosyal mühendislik ve kötü niyetli ekler kullanır. Uzmanlarımız, metotlarındaki ve komuta ve kontrol (C&C) altyapısındaki benzerliklerden dolayı Fin7 ile bağlantıları olmasından şüpheleniyor. Bağlantıları olduğunun bir başka göstergesi de hedef dağılımıdır: Hedeflerin %30’u daha büyük oyuncular için tedarikçi veya hizmet sağlayıcı olan küçük ve orta ölçekli şirketler, % 21’i ise çeşitli imalat şirketleriydi.

CopyPaste

Uzmanlarımız bir Afrika ülkesindeki finansal varlıkları ve şirketleri hedef alan CopyPaste kod adlı bir dizi faaliyet keşfetti. Aktörler Fin7’nin kullandıklarına benzer birkaç yöntem ve araç kullanıyorlardı. Ancak bu siber suçluların yakın zamanda açık kaynak yayınlar kullanmış olması ve FIN7 ile gerçek bir bağlarının bulunmaması mümkün.

Securelist.com‘da ortaklık göstergeleri de dahil olmak üzere teknik detaylara ulaşabilirsiniz.

Güvenliğinizi nasıl sağlayabilirsiniz?

  • Hedef odaklı kimlik avı girişimlerini algılamayı ve engellemeyi amaçlayan özel işlevlere sahip güvenlik çözümleri kullanın. İşletmeler şirket içi e-posta sistemlerini Kaspersky Endpoint Security for Business paketindeki hedeflenen uygulamalarla koruyabilir.
  • Güvenlik bilinci eğitimi verin ve pratik becerileri öğretin. Kaspersky Automated Security Awareness Platformgibi programlar becerilerin güçlendirilmesine ve simüle edilmiş kimlik avı saldırıları gerçekleştirilmesine yardımcı olacaktır.
  • Yukarıda belirtilen grupların tümü kurumsal ortamlardaki düzeltme eki olmayan sistemlerden büyük fayda sağlıyorlar. Yeteneklerini sınırlandırmak için sağlam bir düzeltme eki stratejisi ve Kaspersky Endpoint Security for Business gibi kritik yazılımları otomatik olarak düzeltebilen bir güvenlik çözümü kullanın.