Evasive Panda’nın Uzun Süreli Siber Casusluk Operasyonu Tespit Edildi

Kaspersky tarafından yapılan son analizler, “Evasive Panda” adlı siber tehdit aktörünün yürüttüğü ve hedef sistemlerde uzun süreli gizlilik sağlayan sofistike bir siber casusluk operasyonunu ortaya çıkardı. Söz konusu siber operasyonun, Kasım 2022 ile Kasım 2024 tarihleri arasında Türkiye, Çin ve Hindistan’daki sistemleri hedef aldığı belirtildi.

Sahte Yazılım Güncellemeleri ve Zararlı Yazılım Yöntemleri

Tehdit aktörü, SohuVA, iQIYI Video, IObit Smart Defrag ve Tencent QQ gibi yaygın Windows uygulamalarının güncelleyicilerine benzetilmiş sahte yazılım paketleriyle saldırılarını gerçekleştirdi. Bu meşru yazılımlara benzer hazırlanmış zararlı güncelleyiciler sayesinde, saldırganların hedef sistemlere ilk erişimi uzun süre fark edilmeden sağlandı. Ayrıca, DNS zehirleme tekniği ile zararlı yazılımlarını kendi sunucularından, meşru internet sitelerindeymiş gibi dağıttılar.

MgBot Zararlı Yazılımının Kullanımı ve Güvenlik Önerileri

Saldırının merkezinde, Evasive Panda’nın uzun yıllardır kullandığı modüler zararlı yazılım çerçevesi MgBot yer aldı. MgBot’un yeni dönem saldırılarda güncellenerek birden fazla komuta-kontrol sunucusu ile sürekli erişim ve uzun süreli kalıcılık sağladığı tespit edildi. Zararlı yazılım tuş kaydı, dosya çalma ve uzaktan komut çalıştırma gibi işlevler için çeşitli eklentiler barındırıyor.

Kaspersky güvenlik uzmanı Fatih Sensoy, saldırının uzun süreli ve hedef odaklı yapısına dikkat çekerek, özellikle zararlı bileşenlerin hedef ortamlara özgü şekilde uyarlanmasının tehditin boyutunu artırdığını vurguladı. Kurumlara, çok faktörlü kimlik doğrulama ile yazılım güncellemelerinin doğrulanması, EDR çözümleriyle güncellemelerin analiz edilmesi, ağ izleme stratejilerinin güçlendirilmesi ve kullanıcıların eğitimine ağırlık verilmesi tavsiye edilmektedir. Bireysel kullanıcılar için ise güvenilir koruma yazılımlarının kullanılması öneriliyor.

Kaynak: BYZHA