Araştırmacılar, Çince konuşan gelişmiş bir kalıcı tehdidin (APT), ShadowPad kötü amaçlı yazılımını dağıtmak için ProxyLogon Microsoft Exchange güvenlik açığından yararlandığını söyledi – nihai hedef bina otomasyon sistemlerini (BAS) devralmak ve ağların daha derinlerine inmek.
Bu, enfeksiyonların Afganistan ve Pakistan’daki endüstriyel kontrol sistemlerini (ICS) ve telekom firmalarını ve ayrıca Malezya’daki bir lojistik ve nakliye organizasyonunu etkilediğini söyleyen Kaspersky ICS CERT araştırmacılarına göre. Saldırılar Ekim ayında ortaya çıktı, ancak Mart 2021’e kadar uzanıyor gibi görünüyor.
Kaspersky’nin Pazartesi günkü analizine göre, “Bu tehdit aktörünün tekrar saldırma olasılığının yüksek olduğuna ve farklı ülkelerde yeni kurbanlar bulacağımıza inanıyoruz.”
Kaspersky, bu özel saldırı dizisinde, BAS mühendislik bilgisayarlarını ilk erişim noktası olarak ele geçiren saldırganlar da dahil olmak üzere, olayları birbirine bağlayan benzersiz bir dizi taktik, teknik ve prosedür (TTP) gözlemledi.
“BAS ağları genellikle BAS ekipmanı ve BAS mühendislerinin bilgisayarlarından oluşur (genellikle yalnızca BAS’a değil, aynı zamanda şirket ağına ve bazen OT/ICS’ye de geniş erişime sahiptir). [operational technology/industrial control systems] Kaspersky ICS CERT’de güvenlik uzmanı olan Kirill Kruglov, Dark Reading’e anlatıyor. “Aynı zamanda, deneyimlerimiz BAS mühendisliği bilgisayarlarının (genellikle) daha savunmasız/daha az korumalı olduğunu gösteriyor.”
“Bu kampanyada, (inandığımız gibi) başlangıçta bu telekom ağını hedef alan tehdit aktörleri tarafından ele geçirilen bir BAS ağının (bir telekomünikasyon ağının) ele geçirildiğini gördük. BAS ağını tehlikeye atan tehdit aktörleri muhtemelen birçok BAS kurumsal ağlarındaki sistemlere anında erişim.”
Araştırmacılar, bu tür platformlar için kavram kanıtı kötü amaçlı yazılımların mevcut olmasına rağmen, bunun bir APT grubu için alışılmadık bir hareket olduğunu belirtti.
Kruglov, “Bina otomasyon sistemleri, ileri düzey tehdit aktörleri için nadir hedeflerdir” diyor. “Ancak, bu sistemler son derece gizli bilgi için değerli bir kaynak olabilir ve saldırganlara diğer, daha güvenli altyapı alanlarına bir arka kapı sağlayabilir.”
“Bu, kazara bir şeyin meydana geldiği bir durum olabilir ve birisinin (tehdit aktörü) sonunda böyle bir taktiğin ne kadar verimli olabileceğini anlayabileceği ve yakın gelecekte bir trend haline gelebileceği bir durum olabilir.”
Araştırmacılar, saldırıların binaların fiziksel bütünlüğünü de tehdit ettiği konusunda uyardı. BAS altyapısı, elektrik, aydınlatma, HVAC sistemleri, yangın alarmları ve güvenlik kameraları gibi operasyonel özellikleri tek bir yönetim konsolundan yönetilebilecek şekilde birleştirir.
Kaspersky’ye göre, “Bir BAS’ın güvenliği ihlal edildiğinde, bilgi güvenliğiyle ilgili olanlar da dahil olmak üzere, içindeki tüm süreçler risk altındadır” saldırılar hakkında uyarı.
Bu nadir saldırı türünün gerçek dünyadaki bir örneğinde, geçen Aralık ayında bir bina otomasyon mühendisliği firması, sistemin kilitlenmesinden sonra ışık anahtarları, hareket dedektörleri, deklanşör kontrolörleri ve diğerleri dahil olmak üzere yüzlerce BAS cihazıyla aniden temasını kaybetti. saldırganların ele geçirdiği kendi dijital güvenlik anahtarı. Firma, binadaki ışıkları açmak için merkezi devre kesicileri manuel olarak açıp kapamaya geri dönmek zorunda kaldı.
ProxyLogon, Gizli Enfeksiyonlarda ShadowPad Kötü Amaçlı Yazılımlara Yol Açıyor
Firma, çoğu durumda, siber saldırganların MS Exchange’deki (CVE-2021-26855) ProxyLogon uzaktan kod yürütme (RCE) güvenlik açığından yararlandığını ekledi. Bir saldırı zincirinde kullanıldığında, bu ProxyLogon için açıklardan yararlanmalar, bir saldırganın Exchange sunucusu olarak kimlik doğrulaması yapmasına ve hedef sunucuyu uzaktan kontrol edebilmesi için bir Web kabuğu dağıtmasına izin verebilir.
ProxyLogon, Microsoft’un Hafnium olarak adlandırdığı Çin devlet destekli bir grup tarafından sıfır gün hatası olarak yararlanıldıktan sonra Mart 2021’de açıklandı – ancak kısa süre sonra baş döndürücü bir dizi tehdit grubu, farklı türde saldırılara olanak sağlamak için sorundan yararlanmak için yığıldı.
Bu durumda, içeri girdikten sonra APT, çeşitli Çinli APT’ler tarafından kullanılan popüler bir arka kapı ve yükleyici olan ShadowPad uzaktan erişim Truva Atı’nı (RAT) dağıtır. Secureworks’ün önceki analizine göre, ShadowPad gelişmiş ve modülerdirilk olarak 2017’de “Bronz Atlas” tehdit grubu tarafından konuşlandırıldı. Raporda, “Diğer Çinli tehdit gruplarının giderek artan bir listesi, 2019’dan bu yana çeşitli endüstri dikeylerindeki kuruluşlara yönelik saldırılarda küresel olarak konuşlandırdı” dedi.
Kaspersky araştırmacıları, BAS saldırılarında “ShadowPad arka kapısının, meşru yazılım kisvesi altında saldırıya uğrayan bilgisayarlara indirildiğini” söyledi.
Spesifik olarak, kötü amaçlı yazılım başlangıçta .NET Framework ile kullanılmak üzere yazılmış “yönetilen kod” uygulamalarının yürütülmesi için gerekli olan bir Microsoft kitaplık dosyası olan mscoree.dll dosyası olarak maskelenmişti. Bu nedenle, kötü amaçlı yazılım, Windows Görev Zamanlayıcı’da bir görev oluşturularak yürütülen meşru AppLaunch.exe uygulaması tarafından başlatıldı. Geçen sonbaharda saldırganlar, OLE-COM nesnelerini (OleView) görüntülemek için meşru yazılımlarda DLL ele geçirme tekniğini kullanmaya başladılar. Windows Görev Zamanlayıcı, daha yeni yaklaşımda da kullanılır. Her iki durumda da, bu tür arazi dışında yaşayan araçların (yani meşru yerel yazılım) kullanılması, etkinliğin herhangi bir sisteme izinsiz giriş işareti oluşturma olasılığının düşük olduğu anlamına gelir.
Saldırganlar, ilk bulaşmadan sonra, ek araçlar dağıtmak için önce manuel olarak, ardından otomatik olarak komutlar gönderdi. Araştırmacılar, bunların şunları içerdiğini söyledi:
- CobaltStrike çerçevesi (yanal hareket için)
- mimikatz (kimlik bilgilerini çalmak için)
- Tanınmış PlugX RAT
- BAT dosyaları (kimlik bilgilerini çalmak için)
- Web kabukları (Web sunucusuna uzaktan erişim için)
- Nextnet yardımcı programı (ağ ana bilgisayarlarını taramak için)
Kaspersky’ye göre, “Bulunan eserler, saldırganların saldırıya uğrayan her kuruluştaki en az bir hesaptan (muhtemelen ağa girmek için kullanılan aynı bilgisayardan) alan kimlik doğrulama bilgilerini çaldığını gösteriyor.” “Bu kimlik bilgileri, saldırıyı ağ üzerinden daha da yaymak için kullanıldı… Saldırganın nihai amacını bilmiyoruz. Bunun muhtemelen veri toplama olduğunu düşünüyoruz.”
BAS, Kritik Altyapıyı Hedefleyen APT Saldırılarına Karşı Nasıl Korunulur
Kaspersky, saldırıların “son derece hızlı” geliştiğini, bu nedenle erken durum tespiti ve azaltmanın hasarı en aza indirmenin anahtarı olduğunu söyledi.
Kruglov, “Genel olarak BAS güvenliği, kapsamlı erişime ve daha az güvenlik denetimine/gereksinimine sahip olduğundan, genellikle BT veya OT ağlarından daha az korunur,” diyor. “Ana paket tedarik zinciri güvenliğidir. ICS (ve BT için) için BAS veya telekom ağlarından gelen tedarik zinciri saldırılarını ele alması gereken katmanlı güvenlik önlemleri uygulamak çok önemlidir.”
Araştırmacılar, BAS ayak izleri de dahil olmak üzere endüstriyel altyapıyı korumak için aşağıdaki en iyi uygulamaları önerdi:
- İşletme ağının parçası olan işletim sistemlerini ve tüm uygulama yazılımlarını düzenli olarak güncelleyin. BAS gibi operasyonel teknoloji (OT) ağ ekipmanlarına güvenlik düzeltmelerini ve yamaları hazır olur olmaz uygulayın.
- Olası güvenlik açıklarını belirlemek ve ortadan kaldırmak için OT sistemlerinin düzenli güvenlik denetimlerini gerçekleştirin.
- OT sistemlerini ve ana kurumsal varlıkları potansiyel olarak tehdit eden saldırılara karşı daha iyi koruma için OT ağ trafiği izleme, analiz ve algılama çözümlerini kullanın.
- BT güvenlik ekipleri ve OT mühendisleri için özel OT güvenlik eğitimi sağlayın.
- ICS’yi korumaktan sorumlu güvenlik ekibine güncel tehdit istihbaratı sağlayın.
- OT uç noktaları ve ağlar için katmanlı güvenlik çözümleri kullanın.