Kitlesel ölçekli casus yazılım saldırısı kampanyası: PseudoManuscrypt

 Kitlesel ölçekli casus yazılım saldırısı kampanyası: PseudoManuscrypt

20 Ocak- 10 Kasım 2021 tarihleri arasında uzmanlar, 195 ülkede 35 binden fazla bilgisayarı hedef alan yeni bir kötü amaçlı yazılımı ortaya çıkardı. Lazarus’un Manuscrypt kötü amaçlı yazılımıyla benzerlikleri nedeniyle “PseudoManuscrypt” olarak adlandırılan bu yeni yazılım, çok sayıda endüstride hem devlet kuruluşlarını hem de endüstriyel kontrol sistemlerini (ICS) hedef alıyor.

Endüstriyel kuruluşlar hem finansal kazanç hem de istihbarat toplama açısından siber suçlular için en cazip hedeflerin başında geliyor. 2021 yılı, Lazarus ve APT41 gibi tanınmış APT gruplarının endüstriyel kuruluşlara saldırdığına sahne oldu. Uzmanlar başka bir saldırı dizisini araştırırken, grubun savunma endüstrisine karşı ThreatNeedle kampanyasında kullandığı ve Lazarus’un Manuscrypt ile bazı benzer PseudoManuscrypt isimli yeni bir kötü amaçlı yazılım parçasını ortaya çıkardı.

20 Ocak- 10 Kasım 2021 tarihleri arasında gerçekleşen saldırılarda hedeflerin çoğu, askeri-endüstriyel işletmeler ve araştırma laboratuvarları dâhil olmak üzere sanayi ve devlet kuruluşlarıydı. Saldırıya uğrayan bilgisayarların %7,2’si endüstriyel kontrol sistemlerinin (ICS) bir parçasıydı. Mühendislik ve bina otomasyonu en çok etkilenen bölümler oldu.

Saldırılar belirli endüstrilerde gerçekleşmiyor. Ancak saldırıya çok sayıda mühendislik bilgisayarı, 3D ve fiziksel modelleme için kullanılan sistemlerinin uğraması endüstriyel casusluğun tek bir hedef olabileceğini gösteriyor.

Uzmanlar, PseudoManuscrypt’ten korunmak için kuruluşlara şu tavsiyelerde bulunuyor:

  • Tüm sunuculara ve iş istasyonlarına uç nokta (endpoint) koruma yazılımı yükleyin.
  • Tüm uç nokta koruma bileşenlerinin sistemlerde etkinleştirildiğini ve birinin yazılımı devre dışı bırakmaya çalışması durumunda yönetici parolasının girilmesini gerektiren ilkelerin yürürlükte olduğunu kontrol edin.
  • Active Directory ilkelerinin, kullanıcıların sistemlerde oturum açma girişimlerine ilişkin kısıtlamalar içerdiğini kontrol edin. Kullanıcıların yalnızca işlerine dair sorumlulukları yerine getirmek için erişmeleri gereken sistemlere giriş yapmalarına izin verilmelidir.
  • OT ağındaki sistemler arasında VPN dahil ağ bağlantılarını kısıtlayın. Operasyonların sürekliliği ve güvenliği için gerekli olmayan tüm bağlantı noktalarındaki bağlantıları bloke edin.
  • Bir VPN bağlantısı kurarken ikinci kimlik doğrulama faktörü olarak akıllı kartlar (belirteçler) veya tek seferlik kodlar kullanın.
  • Kuruluş çalışanlarını internet, e-posta ve diğer iletişim kanallarıyla güvenli bir şekilde çalışma konusunda eğitin. Özellikle doğrulanmamış kaynaklardan dosya indirmenin ve yürütmenin olası sonuçlarını açıklayın.
  • Yerel yönetici ve etki alanı yöneticisi ayrıcalıklarına sahip hesapları yalnızca iş sorumluluklarını yerine getirmek için gerekli olduğunda kullanın.
  • Yüksek düzeyde bilgi ve güvenlik uzmanlarının uzmanlığına hızla erişebilmek için Yönetilen Tehdit Algılama ve Yanıt (MDR) hizmetlerini kullanmayı düşünün.
  • Atölyeleriniz için özel koruma kullanın.

İlginizi Çekebilir