2020’nin ilk çeyreğindeki gelişmiş kalıcı tehdit (APT) faaliyetleri, zararlı yazılımların mobil platformları daha sık hedef aldığını, bazı saldırıların yalnızca mobil platforma yönelik düzenlendiğini gözler önüne serdi. Aynı zamanda, özellikle yeni grupların Asya’daki faaliyetlerini yoğunlaştırdıkları, geleneksel gelişmiş grupların ise operasyonlarında çok daha seçiçi oldukları görüldü. Bunlar ve dünya genelindeki diğer APT eğilimleri Kaspersky’nin en yeni üç aylık tehdit istihbaratı özetinde ele alındı.
Son üç aylık APT eğilimleri özeti, Kaspersky’nin özel tehdit istihbaratı araştırmalarının yanı sıra başka kaynaklardan toplanan bilgileri de içeriyor. Özette araştırmacıların herkesin bilmesi gerektiğine inandığı önemli gelişmeler yer alıyor.
2020’in ilk çeyreğinde elde edilen bulgular Asya’daki APT faaliyetlerinin Güneydoğu Asya, Kore ve Japonya’daki saldırılarla arttığını gösterdi. Kaspersky yaratıcı ve bazen düşük bütçeli saldırılarla adından söz ettiren yeni APT gruplarının CactusPete ve Lazarus gibi tanınmış grupların yanında varlığını hissettirmeye başladığını da gözlemledi.
Bunların yanı sıra mobil platformlara artan ilgi, bu platforma düzenlenen saldırıların ve zararlı yazılım dağıtımının artacağının sinyalini veriyor. Kaspersky yakın zaman önce mobil saldırılara odaklanan birçok saldırı hakkında raporlar yayınladı. Bunlar arasında, Hong Kong’da iOS ve Android cihazlarına yönelik LightSpy tuzak saldırısı ve Güneydoğu Asya’daki kurbanları hedef alan PhantomLance adlı Android casusluk saldırısı yer alıyor. Bu iki saldırıda da forumlar ve sosyal medyadan Google Play uygulama mağazasına kadar birçok farklı çevrim içi platformdan başarılı bir şekilde yararlanılması, saldırganların zararlı yazılımları dağıtmak için kullandığı akıllı yöntemleri gözler önüne seriyor.
Mobil zararlı yazılımları yalnızca Asya’yı hedef alan APT grupları kullanmıyor. Örneğin, TransparentTribe adlı grup “USBWorm” adını verdikleri yeni bir modülle Afganistan ve Hindistan’daki kullanıcıları hedef alan bir saldırı düzenledi. Geliştirilen zararlı yazılım Android cihazlarını etkiledi. Saldırıda kullanılan zararlı yazılım, GitHub’da herkese açık bulunabilen açık kaynaklı “AhMyth” Android uzaktan yönetim aracının değiştirilmiş bir sürümüydü.
COVID-19 salgını da Mart ayının ortasından beri çeşitli APT grupları tarafından kurbanları çekmek için kullanılıyor. Ancak bunun kurbanlardan yararlanmak için kullanılan popüler bir konu olmanın dışında yeni bir taktik için değerlendirildiği henüz görülmedi. COVID-19 konusunu kullanan APT grupları arasında Kimsuky, Hades ve DarkHotel yer alıyor.