Giriş
Çin kökenli bir siber casusluk grubu olan UNC5221, Microsoft 365 ortamlarına Brickstorm arka kapısı ve daha önce belgelenmemiş Plenet ile AgentPSD adlı kötü amaçlı yazılımları kullanarak erişim sağlamıştır. Bu olay, siber güvenlik alanında önemli bir tehdit oluşturmakta ve saldırganların hedef sistemlerde uzun süre boyunca gizli kalabilme yeteneklerini göstermektedir.
Saldırı Nasıl Çalışıyor?
UNC5221, “VerdantBamboo” olarak da biliniyor ve 2023 yılından beri kenar cihazlarındaki sıfır gün (zero-day) güvenlik açıklarını kullanarak saldırılar düzenliyor. Saldırıların temel bileşenlerinden biri olan Brickstorm, araştırmacılar tarafından “gelişmiş bir kötü amaçlı yazılım implantı” olarak tanımlanmıştır. Aşağıda Brickstorm ve diğer kötü amaçlı yazılımlar hakkında daha fazla teknik bilgi bulunmaktadır:
- Brickstorm: Golang ile yazılan ilk versiyonların ardından Rust ile geliştirilmiş yeni versiyonlar ortaya çıkmıştır.
- Plenet: Google tarafından “Grimbolt” olarak da izlenen bu kötü amaçlı yazılım, etkileşimli kabuk erişimi, uzaktan komut çalıştırma ve dosya manipülasyonu sunmaktadır.
- AgentPSD: Basit bir Python tabanlı ters shell aracı olan AgentPSD, diğer kötü amaçlı yazılımlar erişilemez hale geldiğinde alternatif bir erişim mekanizması olarak kullanılmaktadır.
Etkilenen Sistemler
Saldırganlar, Brickstorm arka kapısını kullanarak Birleşik Devletler’deki çeşitli hedeflerde yaklaşık bir yıl boyunca tespit edilmeden faaliyet gösterdiler. 2025 yılına kadar devam eden bu süreçte, aşağıdaki gibi etkilenen sistemler tespit edilmiştir:
- Egnyte Storage Sync sistemi
- VMware vSphere sunucuları
- Dell RecoverPoint for Virtual Machines
- Synology NAS aygıtları
Araştırmalar, saldırganların hedef kuruluşların yönetilen hizmet sağlayıcılarını (MSP) da etkisi altına aldığını göstermektedir. Volexity’nin incelemeleri, saldırganların mevcut sistemlerde 18 ay boyunca gizlice bulunabildiğini ortaya koymuştur.
Çözüm ve Korunma
CISA, Brickstorm’un Çinli hackerlar tarafından kullanıldığına dair uyarılarda bulunmuştur. Aşağıdaki önlemler, bu tür saldırılardan korunmak için dikkate alınmalıdır:
- Güvenlik güncellemeleri: Tüm sistemlerinizi en son yazılım güncellemeleri ile koruyun.
- Port kapama: Gereksiz portları kapatın; özellikle 443 numaralı portun kullanımını dikkatlice izleyin.
- Güvenlik izleme: Şüpheli aktiviteleri izlemek için güvenlik izleme sistemlerinizi güçlendirin.
Sonuç olarak, siber güvenlik tehditlerine karşı proaktif bir yaklaşım benimsemek, olası saldırıları önlemek adına en etkili yoldur. Hedef sistemlerinizi düzenli olarak kontrol edin ve güncellemeleri ihmal etmeyin.
