çinli apt grubu asya'daki kritik altyapılara yıllardır saldırıyormuş
arkadaşlar, palo alto networks unit 42’nin yeni raporuna göre çinli bir apt grubu yıllardır asya’daki kritik altyapılara saldırıyormuş. havacılık, enerji, hükümet, kolluk kuvvetleri, ilaç, teknoloji ve telekomünikasyon sektörlerini hedef almışlar. güney, güneydoğu ve doğu asya’daki yüksek değerli kurumlar risk altında.
spoiler: saldırganlar web sunucu açıklarını sömürüyor ve mimikatz kullanarak kimlik bilgilerini çalıyorlar. klasik apt hareketi yani.
saldırı detayları
bu yeni keşfedilen tehdit grubu, web sunucularındaki zafiyetleri istismar ederek ağlara sızıyormuş. ilk erişimi aldıktan sonra mimikatz denen meşhur aracı kullanarak kimlik bilgilerini topluyorlar. yani önce kapıdan giriyorlar, sonra bütün anahtarları çalıyorlar.
saldırı vektörü şöyle:
- web sunucu açıklarını sömürme (initial access)
- mimikatz ile credential harvesting
- lateral movement (ağ içinde yayılma)
- uzun süreli kalıcılık (persistence)
dikkat: bu tip apt grupları genelde sessiz sedasız çalışır, aylar hatta yıllar boyunca sistemde kalabilirler. casusluğun amacı veri toplamak olduğu için acele etmezler.
etkilenen sektörler
| Sektör | Risk Seviyesi |
|---|---|
| Havacılık | 🔴 Yüksek |
| Enerji | 🔴 Yüksek |
| Hükümet | 🔴 Yüksek |
| Kolluk Kuvvetleri | 🔴 Yüksek |
| İlaç | 🟠 Orta-Yüksek |
| Teknoloji | 🟠 Orta-Yüksek |
| Telekomünikasyon | 🔴 Yüksek |
yapmanız gerekenler
agalar, özellikle kritik altyapı sektöründe çalışıyorsanız şunları yapın:
1. web sunucularınızı yamalayın
# web sunucu versiyonlarını kontrol edin
nginx -v
apache2 -v
httpd -v
# güncellemeleri çekin
sudo apt update && sudo apt upgrade -y # debian/ubuntu
sudo yum update -y # rhel/centos
# web sunucu loglarını kontrol edin
tail -f /var/log/nginx/access.log
tail -f /var/log/apache2/access.log
2. mimikatz aktivitesini tespit edin
# Windows Event Log'larında mimikatz izlerini arayın
Get-WinEvent -FilterHashtable @{LogName='Security';ID=4688} |
Where-Object {$_.Message -like "*mimikatz*" -or $_.Message -like "*sekurlsa*"}
# LSASS process'ine erişim denemelerini kontrol edin
Get-WinEvent -FilterHashtable @{LogName='Security';ID=4656} |
Where-Object {$_.Message -like "*lsass.exe*"}
3. edr/xdr çözümlerinizi aktif edin
- mimikatz gibi credential dumping araçlarını tespit edebilen edr kullanın
- endpoint’lerde şüpheli powershell aktivitelerini izleyin
- lateral movement hareketlerini tespit edin
4. network segmentasyonu yapın
# kritik sistemleri izole edin
# firewall kurallarıyla segmentasyon yapın
# örnek iptables kuralı:
iptables -A INPUT -s 192.168.1.0/24 -j DROP
iptables -A INPUT -s 10.0.0.0/8 -p tcp --dport 445 -j DROP
5. credential rotation yapın
- özellikle privileged account’ların şifrelerini değiştirin
- service account’ları gözden geçirin
- mfa’yı her yere zorunlu kılın (evet, service account’lara da)
ioc’ler (indicators of compromise)
şunları arıyorsanız bulabilirsiniz:
mimikatz kullanımı:
sekurlsa::logonpasswordskomutu- lsass.exe process dump’ları
privilege::debugkomutları
web sunucu sömürü izleri:
- anormal POST istekleri
- beklenmedik dosya upload’ları
/tmpveya/var/tmpdizinlerinde şüpheli dosyalar- web shell’ler (c99, r57, wso vb.)
lateral movement:
- psexec, wmic, powershell remoting kullanımı
- anormal smb trafiği
- scheduled task oluşturma
- wmi event subscription’ları
threat hunting önerileri
arkadaşlar, proaktif olun. beklemeden şunları yapın:
# web sunucularda şüpheli dosyaları arayın
find /var/www -type f -name "*.php" -mtime -7 -exec grep -l "eval\|base64_decode\|system\|exec" {} \;
# son 7 günde oluşturulan şüpheli dosyalar
find / -type f -mtime -7 -name "*.jsp" -o -name "*.asp" -o -name "*.aspx" 2>/dev/null
# linux'ta persistence mekanizmalarını kontrol edin
cat /etc/crontab
ls -la /etc/cron.*
systemctl list-unit-files | grep enabled
log analizi
# web sunucu loglarında exploit denemelerini arayın
grep -E "(\.\.\/|\.\.\\|union select|exec|eval)" /var/log/nginx/access.log
# authentication başarısızlıklarını kontrol edin
grep "Failed password" /var/log/auth.log | tail -50
# sudo kullanımlarını inceleyin
grep "sudo" /var/log/auth.log | tail -50
siem kuralları
eğer siem kullanıyorsanız şu kuralları ekleyin:
- mimikatz komut satırı tespiti
- lsass.exe process access
- web sunucu exploit pattern’leri
- credential dumping tool tespiti
- anormal powershell execution
- lateral movement via smb/wmi
- scheduled task creation by non-admin users
öneriler
edit: bu tip apt kampanyaları genelde uzun soluklu olur. bir kere sızdıktan sonra yıllarca sistemde kalabilirler. o yüzden:
- düzenli güvenlik taraması yapın - haftalık vulnerability scan şart
- log’larınızı merkezi bir yerde toplayın - siem kurun, yoksa en azından log aggregation yapın
- incident response planınızı hazırlayın - şimdi hazırlayın, saldırı sırasında değil
- threat intelligence feed’lerinizi güncel tutun - apt gruplarının ioc’lerini takip edin
- red team/purple team çalışmaları yapın - kendi sisteminizi test edin
dikkat: özellikle kritik altyapı sektöründeyseniz bu tip saldırılar sizin için normal siber suçtan çok daha tehlikeli. bunlar devlet destekli, iyi organize olmuş, sabırlı ve kararlı gruplar.
kaynaklar
- Palo Alto Networks Unit 42 Raporu
- MITRE ATT&CK - Credential Dumping
- MITRE ATT&CK - Exploit Public-Facing Application
sonuç olarak: agalar, eğer asya-pasifik bölgesinde kritik altyapı sektöründe çalışıyorsanız ekstra dikkatli olun. web sunucularınızı yamalayın, mimikatz gibi credential dumping araçlarına karşı korunun, log’larınızı düzenli inceleyin. apt grupları sabırlıdır, siz de sabırlı olun ve düzenli kontroller yapın.
bkz: apt grupları, mimikatz, web shell, credential harvesting
Bu içerik yapay zeka tarafından oluşturulmuştur.