ABD siber güvenlik ve istihbarat teşkilatları Salı günü, bir siber casusluk kampanyasının bir parçası olarak, birden fazla ulus-devlet bilgisayar korsanlığı grubunun potansiyel olarak bir “Savunma Sanayi Üssü (DIB) Sektörü kuruluşunun kurumsal ağını” hedef aldığını açıkladı.
“[Advanced persistent threat] aktörler, adı verilen açık kaynaklı bir araç seti kullandılar. Impacket çevredeki yerlerini kazanmak ve ağı daha fazla tehlikeye atmak için ve ayrıca kurbanın hassas verilerini çalmak için CovalentStealer adlı özel bir veri hırsızlığı aracı kullandı,” yetkililer söz konusu.
bu ortak danışmaSiber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı (NSA) tarafından yazılan , saldırganların tehlikeye atılmış ortama uzun vadeli erişimleri olduğunu söyledi.
Bulgular, CISA’nın Kasım 2021’den Ocak 2022’ye kadar güvenilir bir üçüncü taraf güvenlik firmasıyla işbirliği içinde gerçekleştirdiği olay müdahale çabalarının sonucudur. İzinsiz girişi bilinen bir tehdit aktörü veya grubuna bağlamadı.
Ağı ihlal etmek için kullanılan ilk enfeksiyon vektörü de bilinmiyor, ancak bazı APT aktörlerinin 2021 Ocak ayının ortalarında hedefin Microsoft Exchange Server’ına dijital bir köprü başı aldıkları söyleniyor.
Şubat ayında müteakip kullanım sonrası faaliyetler, keşif ve veri toplama çabalarının bir karışımını gerektirdi; ikincisi, sözleşmeyle ilgili hassas bilgilerin sızdırılmasıyla sonuçlandı. Bu aşamada, kalıcılığı sağlamak ve yanal hareketi kolaylaştırmak için Impacket aracı da kullanıldı.
Bir ay sonra, APT aktörleri Microsoft Exchange Server’daki ProxyLogon kusurlarından yararlanarak 17 China Chopper web kabuğunu kurdular ve hiperbroLucky Mouse (aka APT27, Bronze Union, Budworm veya Emissary Panda) adlı bir Çinli tehdit grubu tarafından özel olarak kullanılan bir arka kapı.
Davetsiz misafirler, Temmuz ayının sonundan 2021 Ekim ayının ortasına kadar, ayrıca ısmarlama bir kötü amaçlı yazılım türü kullandılar: KovalentHırsız dosya paylaşımlarında depolanan belgeleri sifonlamak ve bunları bir Microsoft OneDrive bulut klasörüne yüklemek için adsız varlığa karşı.
Kuruluşların olağandışı VPN’lerden gelen bağlantılar, şüpheli hesap kullanımı, anormal ve bilinen kötü niyetli komut satırı kullanımı ve kullanıcı hesaplarında yapılan yetkisiz değişiklikler için günlükleri izlemeleri önerilir.