Araştırmacılar, Billbug olarak bilinen devlet destekli siber saldırı grubunun, Mart ayına kadar uzanan geniş kapsamlı bir casusluk kampanyasının bir parçası olarak bir dijital sertifika yetkilisini (CA) tehlikeye atmayı başardığını ve araştırmacıların uyardığı, gelişmiş kalıcı tehdit (APT) oyun kitabındaki endişe verici bir gelişme.
Dijital sertifikalar, yazılımı geçerli olarak imzalamak ve şifreli bağlantıları etkinleştirmek için bir cihazın veya kullanıcının kimliğini doğrulamak için kullanılan dosyalardır. Bu nedenle, bir CA uzlaşması, bir dizi gizli takip saldırısına yol açabilir.
“Bir sertifika yetkilisinin hedeflenmesi dikkat çekicidir, sanki saldırganlar sertifikalara erişmek için sertifikayı başarılı bir şekilde ele geçirebilmişler, onları potansiyel olarak geçerli bir sertifikayla kötü amaçlı yazılım imzalamak için kullanabilirler ve kurban makinelerde tespit edilmesini önlemeye yardımcı olabilirler.” rapor Symantec’ten bu hafta. “Ayrıca HTTPS trafiğini engellemek için güvenliği ihlal edilmiş sertifikaları da kullanabilir.”
Araştırmacılar, “Bu potansiyel olarak çok tehlikelidir” dedi.
Devam Eden Siber Uzlaşmalar Seli
Billbug (aka Lotus Blossom veya Thrip), esas olarak Güneydoğu Asya’daki kurbanları hedef alan Çin merkezli bir casusluk grubudur. Büyük oyun avcılığıyla tanınır – yani askeri kuruluşlar, devlet kurumları ve iletişim sağlayıcılar tarafından tutulan sırların peşinden gitmek. Bazen daha geniş bir ağ oluşturarak daha karanlık motivasyonlara işaret ediyor: Geçmişte, uyduların hareketlerini izleyen ve kontrol eden bilgisayarları etkilemek için bir havacılık operatörüne sızdı.
En son alçakça faaliyette APT, Asya’daki hükümet ve savunma kurumlarının bir panteonunu vurdu ve bir vakada özel kötü amaçlı yazılımıyla bir hükümet ağında “çok sayıda makineyi” istila etti.
Symantec Threat Hunter Team kıdemli istihbarat analisti Brigid O Gorman, “Bu kampanya en az Mart 2022’den Eylül 2022’ye kadar devam ediyordu ve bu faaliyetin devam ediyor olması muhtemeldir” diyor. “Billbug, yıllar boyunca birçok kampanya yürüten köklü bir tehdit grubudur. Şu anda Symantec’in buna dair bir kanıtı olmasa da, bu faaliyetin ek kuruluşları veya coğrafyaları kapsaması olasıdır.”
Siber Saldırılara Tanıdık Bir Yaklaşım
CA’da olduğu kadar bu hedeflerde de ilk erişim vektörü, savunmasız, halka açık uygulamaların kullanılması olmuştur. Tehdit aktörleri, kod yürütme becerisi kazandıktan sonra, ağların derinliklerine inmeden önce bilinen, özel Hannotog veya Sagerunex arka kapılarını kurmaya devam eder.
Symantec’in raporuna göre, daha sonraki öldürme zinciri aşamaları için, Billbug saldırganları AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail ve WinRAR gibi çok sayıda arazide yaşayan ikili dosyalar (LoLBin’ler) kullanıyor. .
Bu yasal araçlar, bir ağı eşlemek için Active Directory’yi sorgulamak, dosyaları sızdırmak için ZIP’lemek, uç noktalar arasındaki yolları ortaya çıkarmak, NetBIOS ve bağlantı noktalarını taramak ve tarayıcı kök sertifikalarını yüklemek ve ek kötü amaçlı yazılım indirmek gibi çeşitli benzer kullanımlar için kötüye kullanılabilir. .
Çift kullanımlı araçlarla birleştirilmiş özel arka kapılar, geçmişte APT tarafından kullanılan tanıdık bir ayak izidir. Ancak halkın maruz kalmasıyla ilgili endişe eksikliği, grup için kurs için eşittir.
Gorman, “Billbug’un, geçmişte grupla bağlantılı araçları yeniden kullanması nedeniyle, bu etkinliğin kendisine atfedilme olasılığından caydırılmaması dikkat çekici” diyor.
Grubun arazi dışında yaşamayı ve ikili kullanım araçlarını yoğun şekilde kullanması da dikkat çekicidir ve kuruluşların yalnızca kötü amaçlı yazılımları tespit etmekle kalmayıp aynı zamanda meşru araçların potansiyel olarak kullanılıp kullanılmadığını da tanıyabilen güvenlik ürünlerine sahip olmaları gerektiğinin altını çizmektedir. şüpheli veya kötü niyetli bir şekilde kullanılması.”
Symantec, söz konusu adı açıklanmayan CA’ya etkinlik hakkında bilgi vermesi için bildirimde bulundu, ancak Gorman, yanıt veya düzeltme çabalarına ilişkin daha fazla ayrıntı vermeyi reddetti.
Şimdiye kadar grubun gerçek dijital sertifikaları ele geçirebildiğine dair bir gösterge olmasa da, araştırmacı şu tavsiyede bulunuyor: “Şirketler, tehdit aktörleri sertifika yetkililerine erişim elde edebiliyorsa, kötü amaçlı yazılımların geçerli sertifikalarla imzalanabileceğinin farkında olmalıdır.”
Genel olarak kuruluşlar, potansiyel bir saldırı zincirinin her noktasında riski azaltmak için birden fazla algılama, koruma ve güçlendirme teknolojileri kullanan derinlemesine bir savunma stratejisi benimsemelidir, diyor.
Gorman, “Symantec, yönetici hesabı kullanımının uygun denetim ve kontrolünün uygulanmasını da tavsiye eder,” dedi. “Ayrıca, yönetici araçları için kullanım profilleri oluşturmanızı öneririz, çünkü bu araçların çoğu saldırganlar tarafından bir ağda yanal olarak fark edilmeden hareket etmek için kullanılır. Genel olarak, çok faktörlü kimlik doğrulama (MFA), güvenliği ihlal edilmiş kimlik bilgilerinin kullanışlılığını sınırlamaya yardımcı olabilir.”