Geçen yıl Exchange Sunucularında ProxyLogon sıfır gün güvenlik açığından ilk yararlananlar arasında olabilecek bir tehdit grubu, Avrupa ve Asya’daki askeri ve devlet kuruluşlarını hedef alan bir siber casusluk kampanyasında bir çift tehlikeli ve daha önce görülmemiş kötü amaçlı yazılım aracı kullanıyor.
Grubun faaliyetlerini bu hafta ilk tespit eden Kaspersky araştırmacıları, araçları, bir kuruluşun halka açık Web sunucularında uzun süreli kalıcılık sağlamak için tasarlanmış ve saldırganlara yanlamasına hareket etme ve güvenliği ihlal edilmiş ağlara derinlemesine nüfuz etme yeteneği vermek için tasarlanmış kötü amaçlı yazılımlar olarak nitelendirdi.
Satıcı, kötü amaçlı yazılım araçlarının işlevlerinin istendiğinde genişletilmesine olanak tanıyan özelliklere sahip olduğunu ancak Kaspersky’nin şu ana kadar tüm yeteneklerini belirleyemediğini belirtti.
Hedeflenen Saldırılar ProxyLogon Exchange Sunucusu Kusur
Kaspersky takip ediyor önceden bilinmeyen grup “ToddyCat.” Bu haftaki bir raporda, güvenlik sağlayıcısı, düşmanın kurbanının en az bir bilinen Çinli tehdit aktörüyle hedeflemesinin ve belirli operasyonel çakışmaların ToddyCat üyelerinin de Çince konuştuğunu gösterdiğini söyledi.
Kaspersky güvenlik araştırmacısı Giampaolo Dedola, “Bu grup, genellikle hükümet, diplomatik, askeri kuruluşlar ve askeri müteahhitler gibi yüksek profilli kuruluşları hedefliyor” diyor. Tehdit aktörünün ABD’deki kurbanları da tehlikeye atmış olması mümkün olabilir. Ancak Dedola, şu anda Kaspersky’nin durumun gerçekten böyle olduğunu gösteren hiçbir bilgiye sahip olmadığını söylüyor.
Kaspersky’nin analizi, ToddyCat’in kampanyasının Aralık 2020’de Vietnam ve Tayvan’daki üç kuruluşa ait seçili Exchange Sunucularını hedef alan saldırılarla başladığını gösterdi. Saldırganlar, Exchange Sunucularını ihlal etmek ve popüler China Chopper Web kabuğunu sistemlere yerleştirmek için bilinmeyen bir güvenlik açığı kullandı. Daha sonra, yeni kötü amaçlı yazılım araçlarından biri olan “Samuray” adlı bir arka kapı ile sona eren özel yükleyicileri içeren çok aşamalı bir bulaşma zincirini başlatmak için Web kabuğunu kullandılar.
Gelişmiş Kötü Amaçlı Yazılım
Samuray, saldırganlara İnternet’e yönelik Web sunucularında kalıcı erişim sağlamak için tasarlanmış pasif bir arka kapıdır. Arka kapı 80 ve 443 numaralı bağlantı noktalarında çalışır ve öncelikle virüslü sistemlerde rastgele C# kodu yürütmek üzere tasarlanmıştır.
Dedola, “Araştırmamıza dayanarak, saldırgan tarafından yüklenen bazı kaynak kodlarını tespit edebildik ve bunun keyfi komutları yürütmek, dosya indirmek, TCP paketlerini dahili ana bilgisayarlara iletmek için kullanıldığını biliyoruz” diyor. Bir örnek olarak, saldırganın dahili Active Directory sunucularıyla iletişim kurmak için Samuray’ı kullanmasına işaret eder. “Rastgele C# kodu çalıştırma yeteneği, saldırganların kötü amaçlı yazılımın yeteneklerini sonsuz şekilde genişletmesine olanak tanır” diyor.
Kaspersky’nin araştırması, saldırganların Samuray’ı ToddyCat’in saldırılarında kullandığı daha önce görülmemiş diğer kötü amaçlı yazılım aracı olan “Ninja”yı başlatmak için de kullandığını gösterdi. Ninja, zaten güvenliği ihlal edilmiş sistemlerde sömürü sonrası faaliyetleri yürütmek için Kobalt Strike benzeri bir kötü amaçlı yazılımdır.
Dedola, “Saldırganların uzak sistemi kontrol etmesine, dosya sistemini manipüle etmesine, süreçleri manipüle etmesine, diğer işlemlere rasgele kod enjekte etmesine, TCP paketlerini iletmesine ve belleğine yeni modüller yüklemesine izin veriyor” diyor.
Ninja ajanları, sunucular gibi davranacak şekilde yapılandırılabilir. Böylece, saldırgan, belirli makineleri dahili komut ve kontrol sunucuları (C2’ler) olarak belirlemek için kötü amaçlı yazılımı kullanabilir, böylece harici sunuculara olan bağlantıları sınırlandırabilir ve tespit edilme şansını azaltabilir. Dedola, TCP komut iletme işleviyle birleştirilen bu özelliğin, saldırganlara doğrudan İnternet’e bağlı olmayan sistemleri bile yönetmeleri için bir yol sağladığını söylüyor.
Aralık 2020 ile Şubat 2021 arasında ToddyCat, Vietnam ve Tayvan’daki bir avuç kuruluşa sıkı sıkıya odaklanmaya devam etti. Ancak daha sonra, Şubat sonu ile Mart başı arasındaki kısa bir süre için tehdit aktörü, ProxyLogon güvenlik açığını birden fazla ülkedeki kuruluşları tehlikeye atacak şekilde hedefleyerek saldırılarını hızla artırdı. Kaspersky, grubun kurbanlarının Rusya, Birleşik Krallık, Slovakya, Hindistan, İran ve Malezya’daki kuruluşları içerdiğini ve geleneksel olarak Çin merkezli grupların ilgisini çeken endüstrilere ve sektörlere ait olduğunu söyledi.
Taktikte Bir Değişiklik
ToddyCat’in ilk saldırılarının neredeyse tamamı Exchange Server kusurlarını hedef aldı. Ancak Eylül 2021’den itibaren Kaspersky, Telegram mesajlaşma hizmeti aracılığıyla gönderilen kötü amaçlı yükleyicilerin kullanımını içeren masaüstü sistemlerine karşı “saldırı dalgaları” olarak tanımladığı şeyi gözlemledi. Dedola, ToddyCat’in kaç kuruluştan ödün verdiği belli değil, ancak sayı muhtemelen 30’dan az.
Kaspersky’ye göre Samurai ve Ninja’yı tehlikeli yapan şey, kötü amaçlı yazılıma dahil edilen adli tıp ve analiz karşıtı tekniktir. Örneğin. Samurai, 80 ve 443 numaralı TCP bağlantı noktasını Microsoft Exchange ile paylaşmak üzere tasarlanmıştır ve bağlantı noktaları izlenerek algılanamaz. Kötü amaçlı yazılım ayrıca algılamayı önlemek ve kalıcılığı korumak için karmaşık bir yükleme şeması kullanır. Dedola, buna ek olarak, statik analiz araçları tarafından algılanmayı önlemek için “kontrol kodu düzleştirme” adı verilen bir teknik kullandığını söylüyor.
Dark Reading, “Ninja Truva atı, yetenekleri saldırgan tarafından kolayca genişletilebilen başka bir modüler kötü amaçlı yazılımdır” diyerek kötü amaçlı yazılımın yalnızca bellekte çalıştığını ve dosya sistemlerinde hiçbir zaman görünmediğini ve bu nedenle tespit edilmesini zorlaştırdığını da sözlerine ekledi. “Genellikle üçüncü bir dosyadan yükün şifresini çözen bir yükleyici ile yürütülür. Şifreli yükü olan dosya, yükleyici tarafından hemen silinir.”
Inversion6 CTO’su Christopher Prewitt, Kaspersky’nin araştırmasının kötü amaçlı yazılım yazarlarının yöntemlerini gizlemek ve karartmak için çok çaba sarf ettiğini gösterdiğini söylüyor. Samuray arka kapısı bazı nispeten ortak özelliklere sahip olsa da, ToddyCat’in ısmarlama Ninja sömürü sonrası aracı daha ilginç görünüyor.
Prewitt, “Hafızaya yüklenir, bu da analiz etmeyi ve algılamayı çok daha zor hale getirir” diyor. “Tehdit aktörü, yalnızca ilk bulaşma noktasını ve arka kapı araçlarını değiştirirken veya güncellerken araç setinin bu bölümünü yeniden kullanmaya devam edebilir.”