Daggerfly APT Grubu

Daggerfly olarak bilinen Pekin'e bağlı devlet destekli bir bilgisayar korsanlığı grubu, Tayvan'daki kuruluşları ve Çin'de faaliyet gösteren ABD'li bir sivil toplum kuruluşunu (STK) hedef aldı. Bu saldırılarda gelişmiş bir kötü amaçlı yazılım araçları paketi kullandılar. Bu kampanya, grubun aynı zamanda iç casusluk da yürüttüğünü gösteriyor. STK'ya yapılan saldırı sırasında bilgisayar korsanları, MgBot kötü amaçlı yazılımlarını dağıtmak için Apache HTTP sunucusundaki bir güvenlik açığından yararlandı.

Daggerfly APT (Gelişmiş Kalıcı Tehdit) Grubunun Tehditkar Cephaneliği

Bronze Highland ve Evasive Panda olarak da bilinen Daggerfly, 2012'den bu yana Afrika'daki telekomünikasyon hizmet sağlayıcılarını hedef alan istihbarat toplama operasyonları için MgBot modüler kötü amaçlı yazılım çerçevesini kullanıyor. Grup, tespite yanıt olarak araç setini hızlı bir şekilde güncelleme konusunda becerikli ve bu sayede, Casusluk faaliyetlerine minimum kesinti ile devam edin.

En son saldırılar, MgBot'tan türetilen yeni bir kötü amaçlı yazılım ailesini ve ilk olarak Kasım 2021'de tanımlanan bir macOS kötü amaçlı yazılımı olan MACMA'nın geliştirilmiş bir sürümünü içeriyor. MACMA, başlangıçta Hong Kong'daki kullanıcıları hedeflemek için Safari'deki güvenlik açıklarından yararlanan sulama deliği saldırıları yoluyla dağıtıldı.

Bu, MACMA'nın belirli bir bilgisayar korsanlığı grubuyla ilk açık bağlantısını işaret ederek hassas bilgileri toplama ve keyfi komutları yürütme yeteneğini ortaya koyuyor. Kanıtlar, MACMA'nın yaratıcılarının, ELF/Android geliştiricilerinin kodlarını yeniden kullanmış olabileceğini ve potansiyel olarak Android cihazları da hedef alabileceğini gösteriyor.

MACMA'nın Daggerfly ile ilişkisi, MgBot ile kaynak kodundaki örtüşmeler ve yine bir MgBot damlalığı tarafından kullanılan bir Komuta ve Kontrol (C2) sunucusu (103.243.212.98) ile iletişim kurması gerçeğiyle de desteklenmektedir.

Daggerfly Tarafından Kullanılan Ek Kötü Amaçlı Yazılım Tehditleri

Grubun cephaneliğine eklenen bir diğer isim ise Nightdoor'dur (NetMM ve Suzafk olarak da bilinir). Bu implant, Komuta ve Kontrol için Google Drive API'sinden (C2) yararlanıyor ve en az Eylül 2023'ten bu yana Tibetli kullanıcıları hedef alan su kuyusu saldırılarında kullanılıyor. Bu etkinlik ilk olarak Mart ayında belgelendi.

Grup, araçlarının büyük işletim sistemleri için sürümlerini geliştirme yeteneğini göstermiştir. Araştırmacılar, truva atı haline getirilmiş Android APK'larının, SMS müdahale araçlarının, DNS isteği müdahale araçlarının ve Solaris OS'yi hedef alan kötü amaçlı yazılımların kanıtlarını gözlemlediler.

Cihazlarınızı Kötü Amaçlı Yazılım Tehditlerinden Nasıl Korursunuz?

Cihazları kötü amaçlı yazılım tehditlerinden korumak, teknolojiyi, en iyi uygulamaları ve kullanıcı dikkatliliğini birleştiren çok yönlü bir yaklaşım gerektirir. Kullanıcıların cihazlarını korumak için uygulaması gereken en iyi önlemler şunlardır:

• Kötü Amaçlı Yazılımdan Koruma Yazılımını Kurun ve Düzenli Olarak Güncelleyin : Kötü amaçlı yazılımları tespit etmek ve kaldırmak için saygın bir güvenlik yazılımı kullanın ve en son tehditlere karşı koruma sağlamak için her zaman mümkün olduğunca güncel olmasını sağlayın. Ayrıca, sürekli olarak erişilen dosyaları ve indirilenleri izlemek için gerçek zamanlı taramayı etkinleştirin.
• İşletim Sistemlerini ve Yazılımı Güncel Tutun : En son güvenlik yamalarını anında almak için işletim sisteminiz, tarayıcılarınız ve uygulamalarınız için otomatik güncellemeleri etkinleştirin. Otomatik güncellemelere erişilemiyorsa güvenliği sağlamak için bunları düzenli olarak kontrol edin ve manuel olarak yükleyin.
• Güvenlik Duvarlarını Kullanın : Yetkisiz erişimi engellemek için işletim sisteminizdeki yerleşik güvenlik duvarının etkin olduğundan emin olun. Özellikle ev veya iş ağlarında ek koruma sağlamak için donanımsal bir güvenlik duvarı kullanmayı düşünün.
• Güvenli Tarama Alışkanlıklarını Uygulayın : Güvenilmez görünen veya şüpheli içeriğe sahip web sitelerini ziyaret etmekten kaçının. Yazılımı saygın ve resmi kaynaklardan indirin ve kötü amaçlı yazılım riskini en aza indirmek için ücretsiz indirmeler sunan açılır pencerelere veya reklamlara tıklamaktan kaçının.
• Güçlü Parolalar ve İki Faktörlü Kimlik Doğrulama (2FA) Kullanın : Farklı hesaplar için her zaman yeterince güçlü parolalar kullanın ve bunları düzenli olarak değiştirin. 2FA'nın başka bir güvenlik katmanına sahip olmasını etkinleştirin, böylece potansiyel bilgisayar korsanlarının erişim elde etmesi daha karmaşık hale gelir.
• E-posta ve Ekler Konusunda Dikkatli Olun : Kişisel bilgilerinizi ifşa etmeniz veya kötü amaçlı yazılım indirmeniz için sizi kandırmak üzere tasarlanmış kimlik avı e-postalarına karşı dikkatli olun. E-posta eklerine erişmeyin veya bilinmeyen ya da şüpheli kaynaklardan gelen bağlantılara tıklamayın.
• Verileri Düzenli Olarak Yedekleyin : Önemli verileri düzenli olarak harici bir sabit sürücüye veya bulut hizmetine yedekleyerek, kötü amaçlı yazılım saldırısı durumunda bilgileri kurtarabilmenizi sağlar. Periyodik olarak yedeklemelerinizin tamamlandığından ve başarıyla geri yüklenebildiğinden emin olun.
• Reklam Engelleyicileri ve İzlemeyi Önleme Araçlarını Kullanın : Sahte reklamlarla karşılaşma riskini azaltmak için reklam engelleyicileri yükleyin. Ayrıca, tarama verilerinizin toplanmasını önlemek için izleme komut dosyalarını engelleyen tarayıcı uzantılarını kullanın.
• Ağınızı Güvenli Hale Getirin : Yönlendiricinizdeki ve diğer ağ cihazlarınızdaki tüm varsayılan kullanıcı adlarını ve şifreleri değiştirin. Wi-Fi ağınız için güçlü şifreleme (WPA3 veya WPA2) kullanın ve güvenliği artırmak için WPS'yi devre dışı bırakın.
• Kendinizi ve Başkalarını Eğitin : En son güvenlik tehditleri ve en iyi uygulamalar hakkında bilgi sahibi olun. Herkesin bilinçli ve tetikte olmasını sağlamak için aile üyelerini veya çalışanları güvenli çevrimiçi davranışlar ve potansiyel tehditler konusunda eğitin.

Bu önlemlerin tüm cihazlara entegre edilmesiyle kullanıcıların kötü amaçlı yazılım bulaşma riskini azaltması ve genel güvenliği önemli ölçüde artırması muhtemeldir.