Daha önce kötü şöhretli ShadowPad uzaktan erişim Truva Atı (RAT) ile ilişkilendirilen bir tehdit grubunun, Asya’daki birden fazla hedef hükümet ve savunma kuruluşuna ait sistemlere kötü amaçlı yazılım yüklemek için popüler yazılım paketlerinin eski ve güncel olmayan sürümlerini kullandığı gözlemlendi.
Yasal yazılımların güncel olmayan sürümlerini kullanmanın nedeni, saldırganların kötü amaçlı yüklerini hedef sistemde yürütmek için dinamik bağlantı kitaplığı (DLL) yan yükleme adı verilen iyi bilinen bir yöntemi kullanmalarına izin vermeleridir. Aynı ürünlerin en güncel sürümleri, temelde düşmanların kötü amaçlı bir DLL dosyasını meşru bir dosya gibi göstermesini ve uygulamanın dosyayı otomatik olarak yükleyip çalıştıracağı bir dizine koymasını içeren saldırı vektörüne karşı koruma sağlar.
Broadcom Software’in Symantec Threat Hunter ekibinden araştırmacılar, bir siber casusluk kampanyasında taktiği kullanan ShadowPad ile ilgili tehdit grubunu gözlemledi. Grubun hedefleri şimdiye kadar bir başbakanlık ofisi, finans sektörüyle bağlantılı devlet kuruluşları, devlete ait savunma ve havacılık firmaları ve devlete ait telekom, BT ve medya şirketlerini içeriyordu. Güvenlik sağlayıcısının analizi, kampanyanın en az 2021’in başından beri devam ettiğini ve istihbaratın birincil odak noktası olduğunu gösterdi.
Bilinen Bir Siber Saldırı Taktiği Ama Başarılı
“Kullanımı DLL’nin yandan yüklenmesini kolaylaştırmak için meşru uygulamalar Symantec bu haftaki bir raporda, bölgede faaliyet gösteren casusluk aktörleri arasında büyüyen bir trend gibi görünüyor” dedi. Bu çekici bir taktik çünkü kötü amaçlı yazılımdan koruma araçları genellikle kötü amaçlı etkinliği tespit etmiyor çünkü saldırganlar yandan yükleme için eski uygulamaları kullanıyor.
“Uygulamaların yaşı bir yana, diğer ortak nokta, hepsinin nispeten iyi bilinen isimler olması ve bu nedenle zararsız görünebilir.” Symantec’in tehdit avcısı ekibinde tehdit istihbarat analisti Alan Neville diyor.
Symantec, Asya’daki mevcut kampanyanın arkasındaki grubun, iyi anlaşılmasına rağmen taktiği kullanmasının, tekniğin bir miktar başarı sağladığını gösterdiğini söyledi.
Neville, şirketinin yakın zamanda tehdit aktörlerinin ABD’de veya başka yerlerde bu taktiği kullandığını gözlemlemediğini söyledi. “Teknik çoğunlukla Asyalı kuruluşlara odaklanan saldırganlar tarafından kullanılıyor” diye ekliyor.
Neville, en son kampanyadaki saldırıların çoğunda tehdit aktörlerinin meşru PsExec Windows yardımcı programını kullandığını söylüyor. programları uzak sistemlerde yürütmek yandan yüklemeyi gerçekleştirmek ve kötü amaçlı yazılımları dağıtmak için. Her durumda, saldırganlar daha önce eski, meşru uygulamaları yükledikleri sistemlerin güvenliğini ihlal etmişti.
“[The programs] Saldırganların kötü amaçlı yazılım çalıştırmak istediği, güvenliği ihlal edilmiş her bilgisayara yüklendi. Bazı durumlarda, aynı kurban ağındaki birden fazla bilgisayar olabilir” diyor Neville. Diğer durumlarda, Symantec, kötü amaçlı yazılımlarını yüklemek için tek bir makineye birden fazla meşru uygulama dağıttıklarını da gözlemledi.
“Güvenlik yazılımı, grafik yazılımı ve Web tarayıcıları dahil olmak üzere oldukça çeşitli yazılımlar kullandılar” diye belirtiyor. Bazı durumlarda, Symantec araştırmacıları, saldırganın, saldırıyı etkinleştirmek için eski Windows XP işletim sisteminden yasal sistem dosyalarını kullandığını da gözlemledi.
Logdatter, Kötü Amaçlı Yükler Aralığı
Kötü amaçlı yüklerden biri, saldırganların diğer şeylerin yanı sıra tuş vuruşlarını kaydetmesine, ekran görüntüsü almasına, SQL veritabanlarını sorgulamasına, rastgele kod enjekte etmesine ve dosya indirmesine olanak tanıyan Logdatter adlı yeni bir bilgi hırsızıdır. Tehdit aktörünün Asya kampanyasında kullandığı diğer yükler arasında PlugX tabanlı bir Truva atı, Trochilus ve Quasar adlı iki RAT ve birkaç meşru çift kullanımlı araç yer alıyor. Bunlara, bir sızma testi çerçevesi olan Ladon, FScan ve kurban ortamlarını taramak için NBTscan dahildir.
Neville, Symantec’in tehdit aktörlerinin hedef ortama ilk erişimi nasıl sağlayabileceğini kesin olarak belirleyemediğini söyledi. Ancak, yama uygulanmamış sistemlerin kimlik avı ve fırsat hedeflemesi büyük olasılıkla vektörlerdir.
Neville, “Alternatif olarak, ShadowPad’e erişimi olan aktörlerin geçmişte tedarik zinciri saldırıları başlattığı bilindiğinden, bir yazılım tedarik zinciri saldırısı bu saldırganların görev alanı dışında değildir.” Tehdit aktörleri bir ortama erişim kazandıktan sonra, hedeflenecek diğer sistemleri aramak için NBTScan, TCPing, FastReverseProxy ve Fscan gibi bir dizi tarama aracı kullanma eğiliminde oldular.
Bu tür saldırılara karşı savunmak için kuruluşların ağlarında hangi yazılımların çalıştığını denetlemek ve kontrol etmek için mekanizmalar uygulaması gerekir. Ayrıca, ortamda yalnızca beyaz listeye alınmış uygulamaların çalışmasına izin veren bir politika uygulamayı ve halka açık uygulamalardaki güvenlik açıklarının yamalanmasına öncelik vermeyi düşünmelidirler.
“Ayrıca, herhangi bir uzlaşma göstergesi sergileyen makineleri temizlemek için derhal harekete geçmenizi öneririz,” diye tavsiyede bulunuyor Neville, “…
