Taktiğin bilinen ilk kullanımı olduğuna inanılan şeyde, gelişmiş bir kalıcı tehdit aktörü, üst düzey hükümet ve savunma endüstrisi yetkililerini hedefleyen karmaşık bir siber casusluk kampanyasında komuta ve kontrol (C2) amaçları için Microsoft OneDrive hizmetlerinden yararlanıyor. Batı Asya ulusu.
Kampanyayı izleyen Trellix’ten araştırmacılar, bunu, ABD hükümetinin daha önce Rusya’nın askeri istihbarat servisiyle ilişkilendirdiği bir tehdit aktörü olan APT28’e, yani Fancy Bear’a düşük ila orta derecede güven bağladılar. Trellix’in kampanyayla ilgili verileri analizi, tehdit aktörlerinin Polonya ve diğer Doğu Avrupa ülkelerindeki savunma ve devlet kuruluşlarına da bakış açısına sahip olduğunu gösteriyor.
Trellix’in gözlemlediği çok aşamalı, büyük olasılıkla APT28 kampanyasının bulaşma zinciri, diğer birçok APT kampanyası gibi başladı – büyük olasılıkla bir kimlik avı e-postası yoluyla hedefe gönderilen kötü amaçlı bir Excel dosyasının yürütülmesiyle. Dosya için bir istismar içeriyordu CVE-2021-40444, MSHTML’deki kritik bir uzaktan kod yürütme güvenlik açığı veya Microsoft’un tescilli tarayıcı motoru “Trident”. Güvenlik açığı, Microsoft’un aktif açıklardan yararlanma etkinliği raporları arasında geçen Eylül ayında açıkladığı sırada, sıfır günlük bir kusurdu – bu, onun için herhangi bir yama bulunmadığı anlamına geliyordu.
Tehdit aktörünün MSHTML kusurundan yararlanması, kötü niyetli bir dinamik bağlantı kitaplığı (DLL) dosyasının güvenliği ihlal edilmiş sistemin belleğinde yürütmesine ve Trellix’in “Grafit” olarak adlandırdığı üçüncü aşama kötü amaçlı yazılım bileşenini indirmesine neden oldu. Güvenlik satıcısının Graphite analizi, Microsoft Bulut hizmetlerine erişmek için bir Web uygulaması programlama arabirimi olan Microsoft Graph API aracılığıyla Microsoft OneDrive hesaplarını bir C2 sunucusu olarak kullandığını gösterdi.
Trellix, Graphite kötü amaçlı yazılımının kendisinin Empire açık kaynağına, sömürü sonrası uzaktan yönetim çerçevesine dayalı bir DLL yürütülebilir dosyası olduğunu ve tamamen bellekte çalışacak ve asla diske yazmayacak şekilde tasarlandığını buldu. Kötü amaçlı yazılım, çok aşamalı bir bulaşma zincirinin parçasıydı ve sonunda bir Empire aracısının oluşturulan sisteme indirilmesi ve onu uzaktan kontrol etmek için kullanılmasıyla sonuçlandı.
Trellix’in baş bilimcisi Christiaan Beek, tehdit aktörünün bir bulut hizmeti kullanan yeni C2 mekanizmasının ilginç bir hareket olduğunu ve şirketin araştırmacılarının daha önce gözlemlemediği bir şey olduğunu söylüyor. “Microsoft OneDrive’ı bir komut ve kontrol sunucusu mekanizması olarak kullanmak bir sürprizdi, virüslü makinelerle hızlı bir şekilde etkileşim kurmanın yeni bir yoluydu” diyor.
Taktik, saldırganların şifrelenmiş komutları kurbanın klasörlerine sürüklemesine izin verdi. Beek, daha sonra OneDrive’ın kurbanın makineleriyle senkronize edileceğini ve şifrelenmiş komutların yürütüleceğini, ardından istenen tüm bilgilerin şifrelenip saldırganın OneDrive’ına geri gönderileceğini söylüyor.
Rusya’nın APT28’i ile bağları
Çok aşamalı saldırı ve gerçekleştirilme şekli, savunucuların neler olup bittiğini fark etmesini zorlaştıracak şekilde tasarlandı. Buna rağmen, uygun şekilde yapılandırılmış algılama sistemlerine sahip kuruluşlar, kötü niyetli faaliyetleri tespit edebilmelidir. Beek, “Radarın altında kalmak için her türlü karada yaşama tekniği kullanılıyor olsa da, saldırganların sistemlerle dahili olarak iletişim kurması ve düzgün yapılandırılmış XDR teknolojisini tetiklemesi gereken komutları yürütmesi gerekiyor” diyor.
APT28 kampanyasıyla ilgili yem belgeleri ve diğer telemetri, saldırganın hükümet ve askeri hedeflerle ilgilendiğini gösterdi. Örneğin bir belge “parliament_rew.xlsx” olarak adlandırıldı ve hedeflenen ülkenin hükümeti için çalışan çalışanları hedef aldığı görülüyor. Bir diğerinin bir adı vardı ve 2022 ve 2023 askeri bütçelerine ilişkin bir metin içeriyordu.
Trellix’in araştırmacıları, APT28 saldırılarında kullanılan iki ana bilgisayarı tespit edebildiler. Ana bilgisayarlardan birinin, Sırbistan’da çözülen bir IP adresi vardı, diğerinin ise İsveç’te yerleşik olduğu ortaya çıktı. Trellix, Sırp IP adresine sahip C2 sunucusunun MSHTML güvenlik açığından yararlanmayı barındırmak için kullanıldığını ve ikinci aşama DLL için yükleme verilerini buldu. Bu arada İsveç’teki sunucu, güvenliği ihlal edilmiş sistemlerde kurulu aracıları uzaktan kontrol etmek için Empire sunucu çerçevesi için bir ana bilgisayar görevi gördü.
Trellix’in analizi, saldırı hazırlıklarının Temmuz 2021’de başladığını ve saldırıların Eylül ile Kasım 2021 arasında gerçekleştiğini gösteriyor. Kampanyanın zamanlaması, Ermenistan ve Azerbaycan sınırındaki bir siyasi gerilim dönemine denk geldi, bu da saldırıların büyük olasılıkla jeopolitik güdümlü olduğu anlamına geliyor dedi Trellix. Güvenlik sağlayıcısı, saldırıların kurbanlarını bilgilendirdiğini ve bilinen tüm saldırı bileşenlerini ağlarından nasıl kaldıracakları konusunda onlara bilgi verdiğini söyledi.