Cozy Bear (Rahat Ayı) olarak da bilinen APT29 grubunun taktik ve teknikleri için açıklama yapıldı. Grubun Rus istihbaratıyla bağlantılı olduğu düşünülüyor.
Yayınlanan bilgilerde Rus dış istihbaratının SolarWinds saldırısı için 2 malware (kötü amaçlı yazılım) kullandığı yer aldı. Bu iki kötü amaçlı yazılımın da WellMess ve WellMail isimleriyle COVID-19 aşı çalışmalarına karşı kullanıldığı belirlendi. Aşı çalışmalarına saldırıyı APT29 grubu yapmıştı.
Grubun yeni çalışmalarında kırmızı takım platformu olan Sliver’ı kullanmaya başladığı kaydedildi. Sliver ile WellMess ve WellMail kurbanlarına erişim sağlandığı belirtildi.
Ayrıca grubun yeni ortaya çıkan zafiyetlerden de hızlı bir şekilde yararlandığı duyuruldu. Özellikle son haftalarda gündem olan Microsoft Exchange Server zafiyetlerinin kullandığı kaydedildi. Bununla birlikte Fortinet, Cisco, Oracle, Pulse Secure vb. ürünlerinin de hedefe olduğu aktarıldı.
Editör : SavunmaTR Haber Merkezi
