WatchGuard Technologies, Watchguard Tehdit Laboratuvarı araştırmacıları tarafından 2023’ün 3. çeyreğinde kötü amaçlı yazılım trendleri ve ağ güvenlik tehditleri detaylandırılan İnternet Güvenliği Raporu’nu yayınladı. Veriler, siber saldırganların kimlik bilgilerine ulaşmak için parola hırsızlığına başvurduğunu, uç nokta fidye yazılımı saldırılarında %89’luk bir yükseliş kaydedilirken uzaktan erişim yazılımlarının kötüye kullanım oranının arttığını gösteriyor. 

Verilerden elde edilen önemli bulgular, 2023 yılının 3. çeyreğinde uzaktan erişim yazılımlarının kötüye kullanımının arttığını, siber saldırganların değerli kimlik bilgilerini çalmak için parola ve bilgi hırsızlığını kullandığını ve tehdit aktörlerinin bir uç nokta saldırısı başlatmak için komut dosyası kullanmaktan diğer living-off-the-land tekniğine geçtiğini gösteriyor. WatchGuard’ın Unified Security Platform yaklaşımı ve WatchGuard Threat Lab’in önceki çeyrek güncellemelleriyle üç aylık raporda analiz edilen veriler WatchGuard’ın araştırma faaliyetlerini doğrudan desteklemek için aktif WatchGuard ağ ve uç nokta ürünlerinden elde edilen, anonimleştirilmiş toplu tehdit istihbaratına dayanıyor. 

Kurumlar, Bütünleşik Bir Güvenlik Yaklaşımını Benimsemeli

Tehdit aktörlerinin saldırı esnasında farklı yöntemler kullanmasıyla, kurumların güvenlik stratejilerini güçlendirmek için güncel trendleri daha çok takip etmeleri gerektiğini belirten WatchGuard Baş Güvenlik Sorumlusu Corey Nachreiner, “Güvenlik duvarları ve uç nokta

koruma yazılımı içeren modern güvenlik platformları, ağlar ve cihazlar için gelişmiş koruma sağlayabilir. Ancak sosyal mühendislik taktiklerini kullanan saldırılar söz konusu olduğunda son kullanıcı, kötü niyetli aktörler ile onların bir kuruma sızma başarısı arasındaki son savunma hattı haline gelir. Kurumların sosyal mühendislik eğitimi vermelerinin yanı sıra, yönetilen hizmet sağlayıcılar tarafından etkin bir şekilde uygulanabilecek savunma unsurları sağlayan bütünleşik bir güvenlik yaklaşımını benimsemeleri önemlidir.” ifadelerini kullandı.

İnternet Güvenliği 3. Çeyrek Raporu’nda yer alan önemli bulgular şunlar: 

1. Tehdit aktörleri, kötü amaçlı yazılım tespitinden kaçınmak için uzaktan yönetim araçlarını ve yazılımlarını giderek daha fazla kullanıyor. Bu durum hem FBI hem de CISA tarafından kabul ediliyor. Örneğin, Tehdit Laboratuvarı en iyi kimlik avı alanlarını araştırırken, kurbanın TeamViewer’ın önceden yapılandırılmış, yetkisiz bir sürümünü indirmesiyle sonuçlanan ve saldırganın bilgisayarına tam uzaktan erişim sağlayan bir teknik destek dolandırıcılığı gözlemledi.

2. Uç nokta güvenliği saldırıları, Medusa fidye yazılımı türüyle 3. çeyrekte %89 artış gösteriyor. Uç nokta fidye yazılımı tespitleri 2023’ün 3. çeyreğinde azalmış görünse de Tehdit Laboratuvarı’nın otomatik imza motorundan alınan genel bir imza ile tespit edilen Medusa fidye yazılımı sürümü, ilk kez Top 10 kötü amaçlı yazılım tehdidi arasında yer alıyor. Güncel olarak Medusa sürümlerinin de dahil olduğu fidye yazılımı saldırıları bir önceki çeyreğe göre %89 oranında bir artış gösteriyor.

3. Tehdit aktörleri komut tabanlı saldırıları kullanmaktan vazgeçiyor ve giderek artan bir şekilde diğer living-off-the-land tekniklerini kullanıyor. Kötü amaçlı komut dosyaları, 2023’ün 2. çeyreğinde %41 oranında düşüşe geçerken 3. çeyreğe gelindiğinde de %11 oranında azaldı. Yine de komut dosyası tabanlı saldırılar toplam saldırıların %56’sını oluşturarak en büyük saldırı türü olma konumunu sürdürüyor. PowerShell gibi komut dosyası dilleri genellikle living-off-the-land tekniklerinde tercih ediliyor. Aynı zamanda alternatif olarak kullanılan Windows living-off-the-land dosyaları ise %32 oranında artış gösterdi. Threat Lab araştırmacıları, tehdit aktörlerinin PowerShell ve diğer komut dosyalarıyla ilgili daha fazla korumaya yanıt olarak birden fazla living-off-the-land tekniğini kullanmaya devam ettiğini belirtiyor. Living-off-the-land tekniğini kullanan tehdit aktörleri en çok uç nokta saldırılarına başvuruyor.

4. Şifrelenmiş bağlantılar üzerinden gelen kötü amaçlı yazılımlar %48’e geriledi. Bu durum, tespit edilen tüm kötü amaçlı yazılımların yarısından biraz azının şifrelenmiş bağlantılar üzerinden geldiğini gösteriyor. Bu oran, önceki çeyreklere göre önemli ölçüde azaldığı için dikkat çekici bir rakam. Genel olarak toplam kötü amaçlı yazılım tespitleri, Q3’te %14 oranında yükselişe geçti.

5. Kötü amaçlı bağlantılar gönderen e-posta tabanlı bir yazılım, 3. çeyrekte tespit edilen en iyi şifrelenmiş 5 kötü amaçlı yazılımdan dördünü oluşturdu. İlk 5’te yer alan yazılım türlerinden biri hariç hepsi, bir e-posta oltalama girişiminde ek olarak paylaşılan Stacked adlı programı içeriyordu. Tehdit aktörleri, bilinen bir gönderici tarafından paylaşılmış ve incelenmesi gereken bir belge gibi görünen eklerin yer aldığı e-postalar gönderir. Böylece son kullanıcıları hedef alarak kötü amaçlı yazılımı indirmelerini sağlayarak onları kandırmayı amaçlar. Stacked varyantlarından olan Stacked.1.12 ve Stacked.1.7 de Top 10 kötü amaçlı yazılım tespitleri arasında yer aldı. 

6. Ticarileşmiş kötü amaçlı yazılımlar ortaya çıkıyor. En iyi kötü amaçlı yazılım tehditleri arasında Top 10 listesine giren yeni bir kötü amaçlı yazılım ailesi olan Lazy.360502, Vidar parola hırsızlığının yanı sıra 2345explorer reklam yazılımı varyantını da sunuyor. Bu kötü amaçlı yazılım tehdidi, bir kimlik bilgisi hırsızlığı sağlayan ve tehdit aktörlerinin çalınan kimlik bilgileri için ödeme yapabildiği bir “hizmet olarak şifre hırsızı” gibi çalışan bir Çin web sitesine bağlandı ve kötü amaçlı yazılımların nasıl ticarileştiğini gösterdi. 

7. Ağ saldırıları 3. çeyrekte %16 artış gösterdi. ProxyLogon, ağ saldırılarında hedef alınan bir numaralı güvenlik açığı oldu ve toplamda tüm ağ tespitlerinin %10’unu oluşturdu.

   8. İlk 50 ağ saldırısında üç yeni işaret ortaya çıktı. Bunlar arasında 2012’de ortaya çıkan ve arabellek taşmasına yol açabilecek bir PHP Common Gateway Interface Apache güvenlik açığı yer alıyordu. Bir diğeri ise 2016 yılında ortaya çıkan ve hizmet reddi saldırısına yol açabilecek bir Microsoft .NET Framework 2.0 güvenlik açığıydı. Ayrıca açık kaynaklı CMS olan Drupal’da 2014’ten kalma bir SQL zafiyeti güvenlik ihlali vardı. Bu güvenlik açığı, saldırganların kimlik doğrulamasına gerek kalmadan Drupal’ı uzaktan kötüye kullanmasına izin veriyordu.