Araştırmacılar, finans sektörüne yönelik hedefli saldırılarda uzmanlaşarak şimdiden yaklaşık 11 milyon dolar çalmış olan bir suç örgütünün, taktiklerde bir evrim olduğunu gösteren yakın tarihli bir kampanyada Fransızca konuşan Afrika bankalarını hedef tahtasına koyduğunu ortaya çıkardı.
Symantec’ten araştırmacılar, Bluebottle, diğer adıyla OPERA1ER, Temmuz ortası ile Eylül arasında üç ayrı Afrika ülkesindeki üç farklı finans kuruluşunun güvenliğini ihlal ederek üç kuruluştaki birden çok makineyi etkiledi. bir blog gönderisinde ortaya çıktı 5 Ocak’ta yayınlandı.
Symantec tehdit istihbaratı analisti Sylvester Segura, Dark Reading’e grubun faaliyetten finansal olarak yararlanıp yararlanamadığı belli olmasa da, Bluebottle’ın kampanyada kullandığı farklı yükler ve diğer taktikler grubun önceki saldırılarından farklı olduğu için bu önemli.
Bluebottle, özellikle, saldırının ilk aşamalarında ticari amaçlı kötü amaçlı yazılım GuLoader ve kötü amaçlı ISO dosyalarını kullandı (daha önce yapmamıştı) ve ayrıca fidye yazılımı, Segura gibi diğer saldırılarla bağlantılı imzalı bir sürücüyle çekirdek sürücülerini kötüye kullandı. diyor.
“Bunların tümü, Bluebottle grubunun diğer tehdit aktörlerinin şu anda kullanmakta olduğu araç ve teknikleri güncel tuttuğunu gösteriyor” diyor. “En gelişmiş olmayabilirler, ancak bu son aktivite, takım ve tekniklerde saldırgan eğilimlerini takip ettiklerini kanıtlıyor.”
Segura, gerçekten de, özellikle imzalı sürücülerin kullanılmasının, ilk kez 2019’da gözlemlenen finansal olarak motive olmuş bir grup olan Bluebottle’ın bu son faaliyet yoğunluğunda oyununu yükseltmeyi hedeflediğini ve işletmeleri savunma manevraları açısından aynı şeyi yapmaya zorladığını gösteriyor.
“Gittikçe daha ‘daha az gelişmiş’ saldırganlar, imzalı sürücüleri kullanmak gibi çeşitli yollarla algılama çözümlerini devre dışı bırakarak yaratabilecekleri etkinin farkındalar” diyor. “İmzalı sürücüler gibi yazılımlara duyduğumuz güvenin tek bir hata noktasına dönüşmesini önlemek için, kuruluşların makul ölçüde yapabildikleri kadar çok algılama ve koruma katmanı kullanmaları gerekiyor.”
Bluebottle’a ayak uydurmak
Group-IB, OPERA1ER olarak adlandırdığı Bluebottle’ı ilk olarak 2019’un ortasından 2021’e kadar uzanan bir faaliyette izlemeye başladı. Araştırmacılar, bu dönemde grubun 30 hedefli saldırı sırasında en az 11 milyon dolar çaldığını söyledi. bir raporda Kasım ayında yayınlandı. Grup tipik olarak bir finans kuruluşuna sızar ve hileli transferler ve diğer fon çalma faaliyetleri için kullanabileceği kimlik bilgilerini toplayarak yanal olarak hareket eder.
Symantec’in gözlemlediği etkinlik, araştırmacıların virüslü sistemlerden birinde iş temalı bir kötü amaçlı yazılım tespit etmesiyle Temmuz ortasında başladı. ilk giriş noktası.
Araştırmacılar gönderide “Bunlar muhtemelen yem görevi gördü” diye yazdı. “Bazı durumlarda, kötü amaçlı yazılım, kullanıcıyı bunun bir PDF dosyası olduğunu düşünmesi için kandırmak için adlandırılmıştır.”
Symantec araştırmacıları, grubu aynı etki alanını paylaştığı, benzer araçları kullandığı, özel kötü amaçlı yazılım içermediği ve ayrıca Afrika’daki Frankofon ulusları hedef aldığı için Group-1B tarafından bildirilen önceki OPERA1ER etkinliğine bağladı.
Karada Yaşamak
Araştırmacılar, iş temalı kötü amaçlı yazılımı fark ettikten sonra, ticari Sharphound hacktool’u ve fakelogonscreen adlı bir aracı tespit etmeden önce bir indiricinin dağıtımını gözlemlediler. Ardından, bu ilk uzlaşmadan yaklaşık üç hafta sonra, araştırmacılar saldırganların yanal hareket için bir komut istemi ve PsExec kullandığını gördü.
Araştırmacılar gönderide, işgalleri sırasında çeşitli amaçlar için çeşitli ikili kullanım ve karada yaşayan (LotL) araçları kullanarak, “Saldırganların saldırının bu noktasında ‘eller klavyede’ olduğu görülüyor.” ağın.
Bu araçlar, kullanıcı keşfi için Quser, İnternet bağlantısını kontrol etmek için Ping, ağ tüneli için Ngrok, kullanıcı eklemek için Net localgroup/add, ikincil bir erişim kanalı için Fortinet VPN istemcisi, RDP sarıcı dosyalarını kopyalamak için Xcopy ve açmak için Netsh’i içeriyordu. diğerleri arasında güvenlik duvarındaki 3389 numaralı bağlantı noktası.
Araştırmacılar, daha önce bahsedildiği gibi, Bluebottle’ın ayrıca emtia araçları GuLoader’ın yanı sıra Mimikatz, Revealer Keylogger, Backdoor.Cobalt, Netwire RAT ve faaliyetleri sırasında süreçleri öldürmek için kötü niyetli DLL ve sürücülerin yanı sıra “birden fazla bilinmeyen dosya” kullandığını yazdı. .
GuLoader gibi araçlardan bazıları üç kurbanın tamamına dağıtıldı; üç kurbanı birbirine bağlayan diğer faaliyetler arasında aynı .NET indiricisinin, kötü amaçlı sürücünün ve en az bir örtüşen aktarımın kullanılması yer alır.[.]sh URL dediler.
Araştırmacılar, güvenliği ihlal edilmiş ağdaki son etkinliği Eylül ayında gözlemlediler; ancak, Ngrok tünel açma aracının Kasım ayına kadar ağda kaldığını söylediler.
İşletmeler Nasıl Yanıt Verebilir?
Segura, Bluebottle’ın faaliyetlerinde çoğunlukla emtia RAT’leri ve diğer kötü amaçlı yazılımları kullandığından, kuruluşların bu tür tehditlere karşı iyi bir uç nokta korumasına sahip olmalarını sağlayarak bu tehdit grubundan gelen saldırıları azaltabileceğini söylüyor.
“Ayrıca, genişletilmiş bir algılama ve yanıt çözümü, yanal hareket girişimi sırasında PsExec gibi kara araçlarının dışında yaşamayı kötüye kullandıklarının saptanmasına da yardımcı olacaktır” diyor.
Segura, Bluebottle’ın genellikle finansal kazanç için saldırılarında hemen kimlik bilgilerinin peşine düştüğü için, çok faktörlü kimlik doğrulamanın işletmelerin hesapları korumasına ve şüpheli hesap etkinliğini izlemesine yardımcı olma konusunda da uzun bir yol kat edebileceğini söylüyor.
İşletmelerin Bluebottle’ın faaliyetlerine karşı koymak için atabilecekleri diğer adımlar, özellikle “varlıklarını gizlemek için kullandıkları Ngrok gibi çift kullanımlı araçların kötü niyetli kullanımını önlemeye yardımcı olacak” uygulamalara izin vermeyi içerir.
Segura, “Son olarak, çalışanların kimlik avına ve diğer kötü niyetli e-postalara karşı dikkatli olmaları konusunda eğitilmesi, bunun gibi bir grubun izinsiz giriş yapmasını önlemek için çok önemli olacak,” diye ekliyor Segura.