VİRÜS TANIMI
Virüs Türü: Kötü Amaçlı Yazılım / Gelişmiş Kalıcı Tehdit (APT)
Nedir?
Crouching Yeti, en az 2010 yılının sonundan beri etkin olan gelişmiş kalıcı tehdit (APT) kampanyaları yürüten bir tehdittir.
Bu tehdit için hedeflenen birincil sektörler şunlardır:
- Endüstri/makine
- İmalat
- Farmasötik
- İnşaat
- Eğitim
- Bilgi teknolojisi
Detaylı araştırmalar sonucunda tespit ettiğimiz en fazla sayıda kurban, endüstri/makine inşası sektöründe yer alıyordu. Bu da söz konusu sektörle özel olarak ilgilenildiğini gösteriyor.
Crouching Yeti tehdidi kurbanlara virüs bulaştırmak için üç yöntem kullanıyordu: Adobe Flash açığı yerleştirilmiş PDF belgelerini kullanan hedef odaklı kimlik avı e-postaları (CVE-2011-0611)
- Trojana dönüştürülmüş yazılım yükleyiciler
- Tekrar kullanılan çeşitli açıkları kullanan kaynak saldırıları
Tehdit Ayrıntıları
Crouching Yeti neredeyse hiç sofistike olmayan bir kampanyadır. Örneğin; saldırganlar internette geniş çapta ulaşılabilen tek açık olan sıfır gün olmayan güvenlik açıklarını kullandı. Ancak bu, kampanyanın birkaç yıl boyunca radar altında kalmasını önlemedi.
Dünya genelinde bilinen kurbanların toplam sayısı 2800'den fazla ve Kaspersky Lab araştırmacıları bunlar arasından 101 kuruluş tespit edebildi. Bu kurban listesi, Crouching Yeti'nin stratejik hedeflerle ilgilendiğini ve pek de aşikar olmayan pek çok kuruluştaki grubun ilgisini gösteriyor.
Kaspersky Lab'in uzmanları bunların paralel kurbanlar olduğunu düşünüyor ancak Crouching Yeti'yi yalnızca özel bir ilgi alanında son derece hedefli bir kampanya olarak değil, aynı zamanda farklı sektörlerle ilgilenen geniş çaplı bir izleme kampanyası olarak yeniden tanımlamak mantıklı olabilir.
Crouching Yeti virüsü kapıp kapmadığımı nasıl anlarım?
Crouching Yeti kurbanı olup olmadığınızı belirlemenin en iyi yolu, izinsiz giriş olup olmadığını tespit etmektir. Tehditler Kaspersky Anti-Virus gibi güçlü bir antivirüs ürünüyle tanımlanabilir.
Kaspersky Lab ürünleri, Crouching Yeti kampanyasında yer alan kötü amaçlı yazılımları aşağıdaki tehdit tanımlarıyla algılar:
- Trojan.Win32.Sysmain.xxx
- Trojan.Win32.Havex.xxx
- Trojan.Win32.ddex.xxx
- Backdoor.MSIL.ClientX.xxx
- Trojan.Win32.Karagany.xxx
- Trojan-Spy.Win32.HavexOPC.xxx
- Trojan-Spy.Win32.HavexNk2.xxx
- Trojan-Dropper.Win32.HavexDrop.xxx
- Trojan-Spy.Win32.HavexNetscan.xxx
- Trojan-Spy.Win32.HavexSysinfo.xxx
Kendimi Crouching Yeti'ye karşı nasıl koruyabilirim?
- Tüm yazılımlarınızı güncel tutun. Crouching Yeti tehditleri tarafından kullanılan açıkların hiçbiri sıfır gün güvenlik açığı kampanyası değildi. Virüslerin çoğu, güncel üçüncü taraf yazılımlar kullanılarak engellenebilirdi.
- Virüs bulaşmasını önlemek için güvenlik çözümünüzü yükleyip güncel tutun.
- Eğitim, özellikle hedef odaklı kimlik avı e-postaları konusunda güvenliğin önemli bir parçasıdır.