Kaspersky’nin Managed Detection and Response (MDR) uzmanları, Güney Afrika’da bir kuruluşa yönelik siber casusluk saldırısını analiz etti. Uzmanlar, saldırının Çin merkezli olduğu bilinen APT41 grubu tarafından gerçekleştirildiğini değerlendiriyor. APT41’in bölgede nadiren faaliyet gösterdiği bilinse de, bu olayda saldırganlar, kamu BT hizmetleri alanında faaliyet gösteren bir kuruluşun ağına sızmaya çalıştı.

Kaspersky’nin analizine göre, saldırganlar internet üzerinden erişilebilen bir web sunucusunu kullanarak kuruma ait ağda yetkisiz erişim sağladı. Ardından, kimlik bilgisi toplama teknikleriyle iki ayrı etki alanı hesabını ele geçirerek kurum içindeki sistemlerde geniş çaplı erişim elde etti. Toplanan veriler arasında, kaynak kodları, iç iletişimler, e-posta yazışmaları, çeşitli kimlik bilgileri ve yönetim araçlarına ait veriler yer alıyor.

Saldırıda kullanılan araçlar arasında, değiştirilmiş Pillager ve Checkout adlı veri hırsızlığı yazılımlarının yanı sıra RawCopy ve Mimikatz gibi araçlar da bulunuyor. Saldırganlar, ayrıca komuta ve kontrol iletişimi için Cobalt Strike yazılımından ve SharePoint sunucusundan faydalandı.

Kaspersky uzmanları, saldırının kapsamlı ve gizli bir şekilde yürütüldüğünü belirtti. Uzmanlar, bu tür saldırılara karşı savunmada sürekli izleme ve erişim haklarının sınırlandırılmasının önemini vurguluyor.

Kaspersky, benzer saldırılardan korunmak için kurumlara; güvenlik yazılımlarının tüm iş istasyonlarında etkin şekilde kullanılması, kullanıcı ve hizmet hesaplarının erişim haklarının gözden geçirilmesi ve olası tehditlerin erken aşamada tespit edilebilmesine yönelik çözümler kullanılması yönünde önerilerde bulunuyor.