Uzmanlar, Orta Doğu ve Afrika (MENA) bölgesinde aktif bir şekilde birçok ticari şirketi ve kamu kurumunu hedef alan Gaza Team siber çetesi faaliyetlerinde önemli değişiklikler tespit etti. Birkaç yıldır aktif olduğu bilinen grubun 2017 içerisinde kendisini geliştirerek yeni zararlı araçlar edindiği anlaşılıyor.
Gaza Team siber çetesi elçiliklere, diplomatlara, politikacılara, petrol ve gaz şirketlerine ve medyaya devamlı saldırıyor
Gaza Team siber çetesi MENA bölgesinde 2012 yılından bu yana elçiliklere, diplomatlara, politikacılara, petrol ve gaz şirketlerine ve medyaya devamlı bir şekilde saldırıyor ve bunun sonucunda düzenli olarak yeni zararlı yazılım örneklerine rastlanıyor. 2015 yılında çetenin faaliyetlerinde kayda değer bir değişim gören araştırmacılar bir rapor yayınlamıştı. Saldırganlar, yasal güvenlik değerlendirme araçlarına erişmek ve saldırdıkları ağlarda görünürlüklerini azaltmak için BT ve olaylara müdahaleden sorumlu personeli hedef alırken görülmüştü. Araştırmacılar 2017 yılında Gaza Team’in faaliyetlerinde yeniden bir artış olduğunu fark etti.
Yeni saldırılarda hedeflerin profili ve coğrafyası değişmese de Gaza Team’in operasyonları arttı. Saldırganların, daha önce yapmadıkları bir şekilde MENA bölgesinde istihbarat peşinde oldukları görüldü. Daha da önemlisi, kullandıkları saldırı aletleri daha sofistike bir hale gelmiş bulunuyor. Grup, zararlı yazılımlarını hedeflerine ulaştırmak için çeşitli konular özelinde ve jeopolitik hedefli oltalama (spearphishing) dokümanları geliştirmenin yanı sıra, Microsoft Access’teki CVE 2017-0199 yazılım açığından ve büyük ihtimalle Android casusluk yazılımlarından faydalanıyor.
Siber çete, sahte ofis dokümanları içerisine gizlenmiş uzaktan kontrollü Truva atları (RAT – Remote Access Trojan) veya kötü niyetli sayfalara yönlendirme yapan linkler kullanarak çalışıyor. Sonuç olarak kurbanların cihazlarına zararlı yazılım bulaşıyor ve saldırganların dosyalara erişmesine, tuş vuruşlarını kaydetmesine ve ekran görüntüleri almasına olanak sağlıyor. Kurban ilk indirilen zararlı yazılımı fark ederse, indirici, kurbanın bilgisayarına başka dosyalar yükleyerek tespit edilmenin önüne geçmeye çalışıyor.
Yapılan incelemeler, grubun mobil zararlı yazılımlar kullandığına da işaret ediyor. Gaza Team’in faaliyetleri analiz edilirken bulunan bazı dosya adlarının Android Truva atlarıyla ilgili olduğu görülüyor. Bu geliştirilmiş saldırı teknikleri, Gaza Team’in güvenlik çözümlerini atlatmasını ve kurbanlarının sistemlerini uzunca bir süre manipüle etmesini sağladı.
Böyle bir saldırıya kurban gitmemek için uzmanlar aşağıdaki önlemleri almayı öneriyor:
- Çalışanlarınızı hedef odaklı oltalama e-postalarını veya oltalama linklerini normal e-posta veya linklerden ayırt edebilecekleri şekilde eğitin.
- Kurumsal seviyede ve başarısı kanıtlanmış bir güvenlik çözümünün yanı sıra, ağ içerisindeki anormal hareketleri tespit edebilen, gelişmiş tehditlere karşı koruma sağlayan özel bir çözüm kullanın.
- Güvenlik personelinizin en güncel tehdit istihbaratı verilerine erişimi olsun, böylece hedefli saldırıları araştırmalarına ve engellemelerine yarayacak faydalı araçlara sahip olsunlar (tehdit göstergeleri ve YARA gibi).