Evil Corp tarafından ServHelper arka kapı kampanyalarını yürütmek için kullanılan TeslaGun adlı yeni keşfedilen bir siber saldırı paneli keşfedildi.
Prodraft Threat Intelligence (PTI) ekibi tarafından yapılan bir analizden toplanan veriler, Evil Corp fidye yazılımı çetesinin (diğer adıyla TA505 veya UNC2165 ve yarım düzine diğer renkli izleme adları) TeslaGun’u toplu kimlik avı kampanyaları ve daha fazlasına karşı hedefli kampanyalar yürütmek için kullandığını gösteriyor. 8.000’den fazla farklı kuruluş ve kişi. Hedeflerin çoğu, kurbanların 3.600’ünden fazlasını oluşturan ABD’deydi ve bunun dışında dağınık bir uluslararası dağılım var.
En az 2019’dan beri ortalıkta dolaşan ve uzun süredir devam eden ve sürekli güncellenen bir paket olan ServHelper arka kapı kötü amaçlı yazılımının sürekli olarak genişlemesi oldu. Bir araştırmaya göre, 2021’in ikinci yarısında bir kez daha hız kazanmaya başladı. Cisco Talos’tan raporsahte yükleyiciler gibi mekanizmalar ve Raccoon ve Amadey gibi ilişkili yükleyici kötü amaçlı yazılımları tarafından teşvik edildi.
En son, Trellix’ten tehdit istihbaratı geçen ay, ServHelper arka kapısının yakın zamanda sistemlerde gizli kripto madencileri bıraktığının bulunduğunu bildirdi.
PTI raporuSalı günü yayınlanan, TeslaGun’un arkasındaki teknik ayrıntıları araştırıyor ve işletmelerin günümüzde geçerli olan arka kapı siber saldırı trendlerinden bazılarına önemli karşı önlemlerle ilerlemelerine yardımcı olabilecek bazı ayrıntılar ve ipuçları sunuyor.
Kimlik doğrulama mekanizmalarını atlatan ve kurumsal sistemlerde sessizce kalıcılık sağlayan arka kapı saldırıları, siber güvenlik savunucuları için en endişe verici olanlardan bazıları. Bunun nedeni, bu saldırıların standart güvenlik kontrolleriyle tespit edilmesinin veya önlenmesinin çok zor olmasıdır.
Arka Kapı Saldırganları Saldırı Varlıklarını Çeşitlendiriyor
PTI araştırmacıları, araştırmaları sırasında çok çeşitli kurban profilleri ve kampanyaları gözlemlediklerini ve ServHelper saldırılarının çeşitli eşzamanlı kampanyalarda kurbanlar için trol olduğunu gösteren önceki araştırmaları desteklediklerini söyledi. Bu, fırsatçı isabetler için geniş bir ağ oluşturmaya yönelik ticari bir saldırı modelidir.
Raporda, “TeslaGun kontrol panelinin tek bir örneği, farklı teslimat yöntemlerini ve saldırı verilerini temsil eden birden fazla kampanya kaydı içeriyor” dedi. “Kötü amaçlı yazılımın daha yeni sürümleri, bu farklı kampanyaları kampanya kimlikleri olarak kodlar.”
Ancak Siber Saldırganlar Aktif Olarak Kurbanların Profilini Çıkaracak
Aynı zamanda TeslaGun, saldırganların kurbanların profilini çıkardığına, bazı noktalarda bolca not aldığına ve hedefli arka kapı saldırıları gerçekleştirdiğine dair birçok kanıt içeriyor.
“PTI ekibi, TeslaGun panelinin ana panosunun kurban kayıtlarına eklenmiş yorumlar içerdiğini gözlemledi. Bu kayıtlar CPU, GPU, RAM boyutu ve internet bağlantı hızı gibi kurban cihaz verilerini gösteriyor.” fırsatlar. “Öte yandan, mağdur yorumlarına göre, TA505’in aktif olarak kripto-cüzdanlar ve e-ticaret hesapları da dahil olmak üzere çevrimiçi bankacılık veya perakende kullanıcıları aradığı açık.”
Raporda, mağdurların çoğunun finans sektöründe faaliyet gösterdiği ancak bu hedeflemenin münhasır olmadığı belirtildi.
Yeniden Satış, Arka Kapıdan Para Kazanmanın Önemli Bir Parçasıdır
Raporda, kontrol panelinin kullanıcı seçeneklerinin ayarlanma şekli, araştırmacılara grubun “iş akışı ve ticari stratejisi” hakkında birçok bilgi sundu. Örneğin, bazı filtreleme seçenekleri “Sat” ve “2 Sat” olarak etiketlendi ve bu gruplardaki mağdurlar uzak masaüstü protokolleri (RDP) panel üzerinden geçici olarak devre dışı bırakıldı.
Rapora göre, “Bu muhtemelen TA505’in söz konusu mağdurları sömürerek hemen kar elde edemeyeceği anlamına geliyor.” “Grup onları serbest bırakmak yerine, diğer siber suçlulara yeniden satış için bu kurbanların RDP bağlantılarını etiketledi.”
PTI raporu, araştırmacıların gözlemlerine dayanarak, grubun iç yapısının “şaşırtıcı bir şekilde düzensiz” olduğunu, ancak üyelerinin hala “kurbanlarını dikkatle izlediğini ve özellikle finans sektöründeki yüksek değerli mağdurlarla olağanüstü bir sabır gösterebileceğini” söyledi.
Analiz ayrıca grubun gücünün çevikliği olduğunu ve bunun da zaman içinde aktiviteyi tahmin etmeyi ve tespit etmeyi zorlaştırdığını belirtiyor.
Bununla birlikte, arka kapı saldırganları mükemmel değildir ve bu, çabalarını engellemek isteyen siber güvenlik uzmanları için bazı ipuçları verebilir.
Raporda, “Grup, bazı açıklayıcı zayıflıklar sergiliyor. TA505, kurbanların cihazlarında aylarca gizli bağlantıları sürdürebilirken, üyeleri genellikle alışılmadık derecede gürültülü” dedi. “ServHelper’ı kurduktan sonra, TA505 tehdit aktörleri RDP tünelleme yoluyla kurban cihazlara manuel olarak bağlanabilir. Bu tünelleri tespit edebilen güvenlik teknolojileri, TA505’in arka kapı saldırılarını yakalamak ve azaltmak için hayati önem taşıyabilir.”
Rus bağlantılı (ve yaptırımlı) Evil Corp, son beş yılın en üretken gruplarından biri oldu. ABD hükümetine göre grup, finansal Trojan Dridex’in arkasındaki beyin güveni ve WastedLocker gibi fidye yazılımı türevlerini kullanan kampanyalarla ilişkileri var. Cephaneliği için de bir dizi silah geliştirmeye devam ediyor; geçen hafta, bunun Raspberry Robin enfeksiyonlarıyla ilişkili olduğu ortaya çıktı.
PTI, tehdidi izlemek için TA505 kullanır ve fikir birliği sağlam ancak TA505 ve Evil Corp’un aynı grup olduğu evrensel değildir. Geçen aydan bir rapor Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (HC3) “şu anda bu sonucu desteklemediğini” söyledi.
