Özet
Son dönemde Google’ın Tehdit İstihbarat Grubu (GTIG) ve Mandiant, şüpheli bir Çinli siber tehdit aktörüne atfedilen küresel bir istihbarat kampanyasını bozdu. Bu saldırılar, telekom ve hükümet ağlarını hedef alarak SaaS API çağrılarını kullanarak kötü niyetli trafiği gizlemek için tasarlanmıştı.
Saldırı Nasıl Çalışıyor?
Bu kampanya, en az 2023 yılından beri aktif olup, 42 ülkede 53 organizasyonu etkilemiştir; ayrıca en az 20 başka ülkede de olası enfeksiyonlar tespit edilmiştir. Saldırının başlangıç vektörü bilinmemektedir, ancak Google, bu tehdidi içsel olarak UNC2814 olarak takip etmektedir ve geçmişte web sunucuları ve kenar sistemlerindeki açıklıkları kullanarak erişim sağladığını bildirmektedir.
Saldırıda kullanılan yeni C tabanlı arka kapı GRIDTIDE olarak adlandırılmıştır ve Google Sheets API’sini kullanarak komut ve kontrol (C2) operasyonlarını gizlemektedir. GRIDTIDE, bir Google Servis Hesabına hardcoded (önceden tanımlı) bir özel anahtar ile kimlik doğrulaması yapar; başlatıldığında, hesap tablosunu temizleyerek ilk 1000 satırı ve A’dan Z’ye kadar olan sütunları siler.
Etkilenen Sistemler
GRIDTIDE, kendine ait bir hesap tablosunda verileri toplar ve güncel kullanıcı adı, hostname, işletim sistemi detayları, yerel IP, yerel ayar ve saat dilimi gibi bilgileri hücre V1’de kaydeder. Hesabın ilk hücresi A1, komut/status hücresidir ve GRIDTIDE sürekli olarak bu hücreyi sorgular.
Desteklediği komutlar şunlardır:
- C – Base64 kodlu bash komutlarını yürüt, çıktıyı sayfaya yaz.
- U – A2:A
‘deki verileri al ve encoded filepath konumuna yeniden oluştur/yaz. - D – Endpoint’teki yerel dosya
‘i oku, içeriği ~45 KB parçalara ayır ve A2:An aralığına gönder.
A2-An hücreleri, komut çıktısını, dışarı sızdırılan dosyaları ve yüklenmiş araçları yazmak için kullanılmaktadır. GRIDTIDE’nin C2 ile olan iletişimleri, URL güvenli bir base64 kodlama şemasına dayanarak gizlenmekte ve normal trafiğe karışmaktadır.
Çözüm ve Korunma
Google, bu kampanya ile ilgili olarak tüm Google Cloud projelerini sonlandırmış, bilinen altyapıyı devre dışı bırakmış, Google Sheets API erişimlerini iptal etmiş ve tüm C2 operasyonlarında kullanılan bulut projelerini devre dışı bırakmıştır. Etkilenmiş organizasyonlara doğrudan bildirim yapılmış ve enfeksiyonları temizleme konusunda destek sağlanmıştır.
Google, raporun sonunda tespit kurallarını ve bileşenlerine dair (IoCs) göstergeleri listelemiştir. Ancak, bu kampanyanın çok kapsamlı bir şekilde durdurulmasına rağmen, UNC2814’ün yeni altyapılar kullanarak tekrar aktif olmasını beklemektedir.
Aksiyon
Tüm organizasyonların, Google tarafından sağlanan tespit kurallarını uygulayarak sistemlerini güncellemeleri, gerekli yamaları yüklemeleri ve şüpheli trafikleri izlemeye başlamaları önemlidir. Ayrıca, gereksiz API erişimlerini devre dışı bırakmak ve sistem yiyeceklerini gözden geçirmek güvenlik açısından kritik öneme sahiptir.
