Microsost araştırmacıları ‘GALLIUM’ adlı bir tehdit grubu tarafından gerçekleştirilen kötü niyetli faaliyetler konusunda uyarıyorlar. Devam eden saldırıların dünyadaki telekomünikasyon sağlayıcılarını hedef aldığı söyleniyor.
Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?
Bu saldırı grubunun başlangıçta Cybereason’daki araştırmacılar tarafından belgelendiği söyleniyor.
- GALLIUM grubunun en az 2012’den beri aktif olduğuna ve Active Directory’den veri alan ve kişisel olarak tanımlanabilir bilgiler, finansal kayıtlar, coğrafi konumlar ve daha fazlasını içeren diğer veri türlerini tehlikeye atan saldırılar başlattığına inanılıyor.
- 2018 ve 2019 arasında, güvenlik araştırmacıları grubun faaliyetlerinin çoğunun gerçekleştiğini gözlemledi. Bu dönemde, grup öncelikle telekomünikasyon sağlayıcılarını hedef aldı.
Bir dizi değerlendirmeye dayanarak, bu tehdit grubunun mağdurları bulmak için potansiyel olarak açık kaynaklı araştırma ve ağ tarama araçlarını kullandığı sonucuna varıldı. Grup genellikle yamalanmamış web hizmetleri kullanır ve ardından araçları yükler ve kötü amaçlı faaliyetler gerçekleştirmek için kötü amaçlı yazılımlar bulaştırır.
“MSTIC araştırmaları, GALLIUM’un özel işlevsellik geliştirmek yerine, kötü amaçlı yazılım önleme algılamalarından kaçınak için araçalrı büyük ölçüde değiştirdiğini gösteriyor. Bu davranış, GALLIUM aktörleriyle birkaç operasyonel alanda gözlendi ” dedi .
Sitemizin üniversite öğrencisi gönüllü editörlerine bir kahve ısmarlar mısınız?
Mevcut senaryo nedir?
Microsoft Tehdit İstihbarat Merkezi’ndeki (MSTIC) araştırmacılar, telekom sağlayıcılarını hedef alan GALLIUM tehdit grubunun devam eden faaliyetleri hakkında uyarıyor. Saldırıların başarılı bir şekilde yürütülmesini önlemek için aktif savunma tedbirlerini öneriyorlar.
Önerilen savunmalar
Tehdidi analiz eden güvenlik uzmanları, kuruluşların benimseyebilecekleri birkaç savunma önerdi.
- Muti-Factor Authentication’ı, kullanabileceğiniz tüm hesaplar için her zaman etkinleştirin.
- Sistemlerinizin ve yazılımınızın mevcut en son sürümlerde çalıştığından emin olun.
- Potansiyel bir ihlal belirtileri belirlemek için davranış algılama çözümlerini uygulayın.
- Web servislerinin minimum izinlerle çalıştığından emin olun.
Tüm öneriler listesini, Uzlaşma Göstergeleri (IOC’ler) ve tehdit grubunun detaylı analizini Microsoft blog yazısında bulabilirsiniz.