Azerbaycan enerji sektörüne yönelik siber saldırı faaliyetleri araştırılıyor

Çin'e bağlı "FamousSparrow" isimli APT (Advanced Persistent Threat) grubunun, Azerbaycan'ın petrol ve doğalgaz sektöründe faaliyet gösteren şirketlerinden birine yönelik çok aşamalı siber saldırı gerçekleştirdiği iddia edildi. Azerbaycan Cumhuriyeti Özel İletişim ve Bilgi Güvenliği Devlet Servisi Bilgisayar Olaylarına Müdahale Merkezi (Devlet CERT) tarafından elde edilen bilgilere dayanılarak, söz konusu siber tehdit faaliyetlerine ilişkin gösterge bazlı tehdit istihbaratı ve teknik araştırmalar gerçekleştirilmiştir 525.az, bunun Azerbaycan Cumhuriyeti Özel İletişim ve Bilgi Güvenliği Devlet Servisi Bilgisayar Olaylarıyla Mücadele Merkezi'nin bilgilerinde belirtildiğini bildirmektedir Bilgilerde, saldırganların ilk etapta "Microsoft Exchange Server" platformunda bulunan "ProxyShell" ve "ProxyNotShell" güvenlik açıklarını kullanarak erişim elde ettikleri, daha sonra sisteme bir "web kabuk" yerleştirerek sürekli erişim fırsatları oluşturdukları, daha sonraki aşamalarda ise DLL sideloading tekniği ile Deed RAT ve TernDoor zararlı yazılımlarını kullandıkları belirtildi Ancak ayrıntılı analiz sırasında "AzStateNet" segmentinde "FamousSparrow" etkinliğine dair hiçbir iz bulunamadı. Bu nedenle, dosya karmaları, etki alanları, URL adresleri ve saldırı vektörüyle ilişkili diğer risk göstergeleri üzerinde güvenlik kontrolleri yapıldı, potansiyel güvenlik ihlali işaretleri karma değerleri aracılığıyla değerlendirildi. Alan göstergelerine ilişkin olarak "AzStateNet" ağı üzerinden ilgili sorgulamalar yapıldı. Alınan tedbirler sonucunda saldırı faaliyetine ilişkin teknik göstergelere dayalı olarak önleyici engelleme tedbirleri hayata geçirildi ve ilgili güvenlik sistemlerine uygun kısıtlamalar uygulandı Devlet kurumlarına (kurumlarına) şüpheli "giden" bağlantıların ve anormal faaliyetlerin araştırılması, ihlal belirtileri tespit edilmesi halinde ilgili makamlara derhal bilgi verilmesi, ayrıca "sentinolonepro[.]com:443" ve virusblocker[.]it[.]com:443 alan adlarının kontrollerinin yapılması, aynı zamanda elde edilen IOC göstergelerine göre ilgili kurumlara IOC'lerin geriye dönük ve güncel takibinin yapılması, devlet e-posta hizmeti, SIEM, EDR/XDR, güvenlik duvarı, proxy ve DNS günlükleri üzerinde gösterge tabanlı kontroller gerçekleştirin ve Microsoft Exchange altyapısını ve kimlik doğrulama günlüklerini daha ayrıntılı olarak analiz edin Kritik bilgi altyapılarının siber tehditlerden korunması, olası saldırı faaliyetlerinin zamanında tespiti ve önleyici güvenlik tedbirlerinin uygulanması yönünde Merkez tarafından izleme ve tehdit istihbarat faaliyetleri sürdürülmektedir