Araştırmacılar, yalnızca halka açık ve karada yaşayan bir dizi aracı kullanan, daha önce bilinmeyen bir tehdit aktörünün, Ekim ayından bu yana bir istihbarat toplama operasyonunda Asya merkezli nakliye şirketlerini ve tıbbi laboratuvarları hedef aldığını buldu.
Broadcom Software’in sahibi olduğu Symantec’teki araştırmacılar tarafından Hydrochasma olarak adlandırılan grup, henüz herhangi bir veri çalmış gibi görünmüyor, ancak Symantec’in Tehdit Avcısı olan siber casusluk için COVID-19 ile ilgili tedaviler veya aşılarla ilgili endüstrileri hedefliyor gibi görünüyor. Takım yazdı bir blog yazısı bu hafta yayınlandı
Araştırmacılar, “Symantec araştırmacıları, kurban makinelerden sızan verileri gözlemlemese de, Hydrochasma tarafından dağıtılan bazı araçlar uzaktan erişime izin veriyor ve potansiyel olarak verileri sızdırmak için kullanılabilir” diye yazdı.
Kullandıkları araçlara ve taktiklere bakılırsa, grubun başlıca amacının kurban makinelere tespit edilmeden kalıcı erişim sağlamanın yanı sıra “ayrıcalıkları artırma ve kurban ağları arasında yatay olarak yayılma çabası” olduğu görülüyor.
Symantec Tehdit Avcısı ekibinin kıdemli istihbarat analisti Brigid O Gorman, Dark Reading’e gerçekten de özel kötü amaçlı yazılım eksikliğinin bu nedene uygun olduğunu söylüyor.
“Grubun arazi dışında yaşama ve halka açık araçlara olan güveni dikkate değer” diyor. “Bu bize grup hakkında, radarın altında kalma ve faaliyetlerinin atfedilmesini daha zor hale getirme arzusu da dahil olmak üzere bir dizi şey söyleyebilir.”
Hidrokazma Nasıl Saldırır?
Araştırmacılar, genellikle saldırganlar tarafından kullanılan ücretsiz, açık kaynaklı ve platformlar arası bir VPN yazılımı olan SoftEther VPN’in varlığını fark ettiklerinde kurbanın ağındaki ilgili etkinlik konusunda ilk kez uyarıldılar.
Diğer birçok tehdit grubu gibi, Hydrochasma da hedeflenen bir ağa ilk erişim aracı olarak kimlik avını kullanıyor gibi görünüyordu. Gerçekten de kimlik avı, saldırganların ağları tehlikeye atmasının en başarılı yollarından biri olmaya devam ediyor ve hızla büyümeye ve gelişmeye devam ediyor.
Bu durumda, araştırmacıların kurban makinelerde buldukları şüpheli faaliyetin ilk işareti, bir nakliye şirketi “ürün spesifikasyonu” için bir e-posta eki gibi görünen, kuruluşun ana dilinde bir dosya adına sahip bir yem belgesiydi. Araştırmacılar ayrıca bir “geliştirme mühendisi” için özgeçmişi taklit eden bir yem buldular.
Hydrochasma bir makineye erişim kazandığında, saldırganlar, bir ağ adresi çevirisi (NAT) veya güvenlik duvarı tarafından korunan yerel bir sunucuyu İnternet’e açabilen bir araç olan Hızlı Ters Proxy’yi bırakır. Bu da meşru bir Microsoft Edge güncelleme dosyası bırakır. Araştırmacılar, bunu, Metasploit çerçevesinin bir parçası olan ve aslında uzaktan erişim için kullanılabilecek, Meterpreter adlı halka açık bir araç olan başka bir dosyanın takip ettiğini söyledi.
Mutfak lavabosu disinda hersey
Aslında, araştırmacıların gözlemlediği kampanyada, grup, ağdaki varlığını ve kalıcılığını garanti altına almayı amaçlayan halka açık bir dizi araçla, kurban örgütü mutfak lavabosu dışında her şeye benzeyen şeylerle bombaladı.
O Gorman, “Bir saldırı grubunun bir saldırı zincirinde yalnızca açık kaynaklı kötü amaçlı yazılım kullandığını görmek görece alışılmadık bir durumdur, bu nedenle bu, Hydrochasma’nın etkinliğini bizim için öne çıkardı,” diyor O Gorman.
Saldırıda Hydrochasma tarafından kullanılan diğer araçlar arasında şunlar yer alır: Gogo tarama aracı, otomatik bir tarama motoru; Saldırganların etki alanı parolalarını boşaltmasına izin veren İşlem Dumper; intranetin yanal penetrasyonu için kullanılabilen AlliN tarama aracı; ve açık bağlantı noktalarını ve daha fazlasını tarayabilen, halka açık bir bilgisayar korsanlığı aracı olan Fscan.
Araştırmacılar ayrıca Hydrochasma’nın, saldırganların da komutları yürütmek için geniş çapta benimsediği meşru bir sızma testi aracı olan Cobalt Strike Beacon’u kullandığını gözlemledi; enjekte etme, yükseltme ve kimliğe bürünme süreçleri; ve kurban ağlarına dosya yüklemek ve indirmek. Grup ayrıca saldırıda bir kabuk kodu yükleyici ve bozuk bir taşınabilir yürütülebilir dosya konuşlandırdı.
Ancak kurban ağına saldırıları burada bitmedi; araştırmacıların saldırıda kullanıldığını gözlemledikleri ek araçlar arasında şunlar yer alır: Procdump, bir uygulamayı CPU artışlarına karşı izlemek ve kilitlenme dökümleri oluşturmak için; Bir tarayıcıdan şifreleri alabilen BrowserGhost; tünel aracı Gost proxy; Ağ hizmetlerine erişmek için doğrulanmış kimlik doğrulama isteklerini yakalamak için Ntlmrelay; ve tarayıcı verilerinin şifresini çözebilen açık kaynaklı bir araç olan HackBrowserData.
Ödün Vermekten Kaçınmak
Symantec, kuruluşların Hydrochasma tarafından hedef alınıp alınmadığını belirlemelerine yardımcı olmak için blog gönderisine hem dosya hem de ağ güvenliği göstergelerini dahil etti.
Grubun çift kullanımlı ve arazide yaşayan araçlarının kapsamlı kullanımı, kuruluşların ağ makinelerinde şüpheli davranışları algılamanın yanı sıra kötü amaçlı yazılımları durdurmak için kapsamlı bir güvenlik çözümüne sahip olma ihtiyacını vurguluyor, diyor O Gorman: “Kuruluşlar potansiyel bir saldırı zincirinin her noktasında riski azaltmak için çoklu algılama, koruma ve güçlendirme teknolojilerini kullanarak derinlemesine bir savunma stratejisi benimsemelidir” diyor Dark Reading’e. “Kuruluşlar ayrıca ağları içindeki çift kullanımlı araçların farkında olmalı ve kullanımını izlemelidir.”
Genel olarak Symantec, yönetici hesabı kullanımının uygun şekilde denetlenmesi ve kontrolünün yanı sıra yönetici araçları için kullanım profillerinin oluşturulmasını da tavsiye ediyor, çünkü “bu araçların çoğu saldırganlar tarafından bir ağ üzerinden yanal olarak fark edilmeden hareket etmek için kullanılıyor” O Gorman ekler.