Yeni bir siber casusluk aktörü, yürütme ortamına göre davranışını uyarlayabilen gelişmiş bir kötü amaçlı yazılımla Rusya Federasyonu’ndaki hükümet kurumlarını hedef alıyor.
Kaspersky araştırmacılarının “CloudSorcerer” adıyla takip ettiği gelişmiş kalıcı tehdit (APT) grubunun çalışma tarzı, güvenlik sağlayıcısının geçen yıl tespit ettiği ve yine Rus varlıklarını hedef alan bir başka APT olan “CloudWizard”ın kullandığına benziyor.
Bulutta Saklanmak
CloudWizard gibi, yeni tehdit grubu da komuta ve kontrol (C2) ve diğer amaçlar için genel bulut hizmetlerinden fazlasıyla yararlanıyor. Ayrıca aynı hedeflerin peşinde gibi görünüyor. Ancak CloudSorcerer’ın aynı adlı kötü amaçlı yazılımı, CloudWizard’ınkinden tamamen farklı, bu da birincisinin, Kaspersky’nin ikincisiyle aynı taktikleri kullanan yeni bir siber casusluk aktörü olma olasılığını artırıyor bu haftaki bir raporda şöyle denildi.
“Benzerlikler olsa da işleyiş biçimi için daha önce bildirilen CloudWizard Kaspersky, “APT’nin kod ve işlevsellikteki önemli farklılıkları, CloudSorcerer’ın muhtemelen önceki tekniklerden esinlenen ancak kendine özgü araçlar geliştiren yeni bir aktör olduğunu gösteriyor” dedi.
CloudSorcerer’ın birincil kötü amaçlı yazılım aracı, tehlikeye atılmış sistemlerde gizli izleme ve veri toplama ve Microsoft Graph API, Dropbox ve Yandex bulutu gibi meşru bulut hizmetlerini kullanarak veri sızdırma gibi birden fazla işlevi gerçekleştirebilir. CloudSorcerer ayrıca, kötü amaçlı yazılımın daha sonra uygulama programlama arayüzleri (API’ler) aracılığıyla eriştiği komuta ve kontrol sunucularını barındırmak için bulut hizmetlerini kullanır.
CloudSorcerer: Sinsi Bir Kötü Amaçlı Yazılım
Tehdit aktörleri, CloudSorcerer’ı tek bir yürütülebilir dosya olarak dağıtıyordu ancak yürütme içeriğine bağlı olarak iki ayrı modül olarak çalışabiliyordu: bir veri toplama modülü ve bir iletişim modülü. Kötü amaçlı yazılımı bu şekilde dağıtmanın amacı, hem dağıtımını hem de gizlenmesini kolaylaştırmaktır.
Kaspersky’ye göre “Kötü amaçlı yazılım, saldırgan tarafından halihazırda enfekte olmuş bir makinede manuel olarak yürütülür.” “Başlangıçta C dilinde yazılmış tek bir Taşınabilir Yürütülebilir (PE) ikili dosyadır.”
İşlevselliği, yürütüldüğü işleme bağlı olarak değişir. Yürütme sırasında, kötü amaçlı yazılım, hangi işlemde çalıştığını kontrol etmek için GetModuleFileNameA işlevini çağırır. İşlem mspaint.exe ise kötü amaçlı yazılım bir arka kapı işlevi görür ve kod yürütme ve veri toplama gibi çeşitli kötü amaçlı işlevleri toplar.
CloudSorcerer’ın topladığı veriler arasında bilgisayar adı, kullanıcı adı, Windows sürüm bilgileri ve sistem çalışma süresi yer alır. Kötü amaçlı yazılım daha sonra verileri C2 sunucusuna gönderir. C2 sunucusundan gelen yanıta bağlı olarak, arka kapı daha sonra sistemdeki sabit disklerden bilgi toplamasını; dosya ve klasörlerden veri toplamasını; kabuk komutlarını yürütmesini; ve tehlikeye atılan sistemdeki herhangi bir dosyaya veri oluşturmasını ve yazmasını talimatlandıranlar da dahil olmak üzere birden fazla komuttan birini yürütür.
Kötü amaçlı yazılımın arka kapı işlevselliği ayrıca kötü amaçlı ikili dosyaları çalıştırmak için süreçler oluşturma, özel bir kullanıcı olarak süreçler oluşturma, görevleri alma ve durdurma, hizmetler oluşturma ve değiştirme, Windows kayıt defterlerinden değerleri silme ve kayıt defteri anahtarlarını değiştirme yeteneğini de içerir. Kaspersky, CloudSorcerer ilk kez yürütüldüğünde, GitHub’daki bir başlangıç C2 sunucusuyla iletişim kurar; bu, temelde kötü amaçlı yazılımın atması gereken bir sonraki adım dizisiyle ilgili talimatlar içeren bir web sayfasıdır, dedi.
Giden Trafiğe Dikkat Edilmesi
Saldırganların C2 altyapısını barındırmak için genel bulut hizmetlerinden yararlanma uygulaması ve kötü amaçlı yazılım dağıtmak ve bir saldırı zincirinin diğer bileşenleri yeni değil. Hizmetler gibi Microsoft Grafik API’si Ve GitHub özellikle kötü amaçlı yazılımları ve kötü amaçlı faaliyetleri kurumsal savunma mekanizmalarından gizlice geçirmeyi amaçlayan tehdit aktörleri arasında popüler hale geldi. Yine de, bu tür hizmetleri kullanan saldırıların artan karmaşıklığı kuruluşlar için bir zorluk teşkil ediyor.
Kaspersky, “CloudSorcerer kötü amaçlı yazılımı, Rus hükümet kuruluşlarını hedef alan karmaşık bir araç seti sunuyor,” diye belirtti. “C2 altyapısı için Microsoft Graph, Yandex Cloud ve Dropbox gibi bulut hizmetlerini ve ilk C2 iletişimleri için GitHub’ı kullanması, siber casusluğa yönelik iyi planlanmış bir yaklaşımı gösteriyor.” Kaspersky, CloudSorcerer’ın davranışını süreç bağlamına göre dinamik olarak uyarlama yeteneğinin zorluğa katkıda bulunduğunu belirtti.
KnowBe4’te güvenlik farkındalığı savunucusu olan Erich Kron, yeni kampanyanın, kuruluşların yalnızca ağa gelenleri izlemekle yetinmemesi gerektiğini gösterdiğini söyledi.
“GitHub ile başlayan ilk C2 iletişimi alışılmadık olmasa da, ağlardan gelen giden trafiği sınırlamanın önemine dair bir derstir,” dedi e-postayla gönderilen bir yorumda. “Bir organizasyondaki insanların çoğunun, bu tür komuta ve kontrol trafiği için yaygın olarak kullanılan bir web sitesine erişme ihtiyacı yoksa, bu trafiği engellemek mantıklıdır.”