Rusya bağlantılı bir gelişmiş kalıcı tehdit (APT) grubu, TinyTurla arka kapısını dosyasız bir yük olarak sunmak için sosyal mühendislik e-postalarını kullanan bir kampanyada PDF ve MSBuild proje dosyalarını kötüye kullanıyor. Araştırmacılar, kampanyanın kesintisiz teslimat rutininin gelişmişlik açısından kayda değer bir evrim olduğunu söyledi.
Cyble Araştırmacıları ve İstihbarat Laboratuarlarından (CRIL) araştırmacılar, kullanıcılara TinyTurla bulaştırmak için tuzak olarak insan hakları seminerlerine davetiyeler sunan veya kamuya yönelik tavsiyeler sağlayan belgeler içeren e-postaların kullanıldığı kampanyayı tespit etti. İçinde bir blog yazısı Dün kampanyayla ilgili yayınlanan bir belgede, saldırganların mağdurları cezbetmek amacıyla meşru yetkililerin kimliğine büründükleri de söylendi.
Gönderiye göre, “Hedeflenen kişiler yanlışlıkla bunun meşru bir davet veya tavsiye olduğuna inanıp açtıklarında, yanlışlıkla sistemlerine küçük bir arka kapı yerleştirebilirler.” Saldırganlar daha sonra arka kapıyı kullanarak kontrol ettikleri komuta ve kontrol (C2) sunucusundan komutları yürütebilir ve kurbanın sistemine sızabilirler.
Filipinler’deki bireyleri ve kuruluşları hedef alan kampanya, yem PDF’leri ve MSBuild proje dosyaları CRIL’e göre “sorunsuz yürütme için” .LNK dosyaları içinde. Gönderiye göre saldırgan ayrıca “gizli, dosyasız bir son yük sağlamak için proje dosyalarını Microsoft Build Engine’i (MSBuild) kullanarak yürütüyor”.
Muhtemel Suçlu: Turla APT
TinyTurla arka kapısı uzun süredir Rusya’nın sponsor olduğu bir tehdit aktörüyle bağlantılı. Turla, bu tipik olarak STK’ları hedef alıyorAraştırmacılar, “özellikle Ukrayna’yı desteklemekle bağlantısı olanlar” dedi. Gönderiye göre, kötü niyetli faaliyetin arkasında grubun olduğuna inanıyorlar.
Araştırmacıların gözlemlediği kodlar, e-postaların içeriği ve diğer taktikler de APT’yi işaret ediyor. Gönderiye göre, “Temel birinci aşama arka kapı işlevlerinin kullanımı, tehlikeye atılmış Web sunucularının C2 altyapıları için kullanılmasıyla birleştiğinde, Turla’nın sergilediği davranışla uyumludur.”
Turla’nın ayrıca, kampanyada da gözlemlenen bir davranış olan, güvenliği ihlal edilmiş web sitelerinin belirli dizinlerine PHP tabanlı C2’ler dağıttığı da biliniyor.
Spam E-postadan Arka Kapı Kötü Amaçlı Yazılıma
Daha önce de belirtildiği gibi, kampanya, birisini insan hakları seminerine davet eden veya bir kamu tavsiyesi ile Filipin İstatistik Kurumu’nun kimliğine bürünen bir belgeyi içeren spam e-postalarla başlıyor. İkincisi keşfedildi ve Paylaşıldı CRIL’e göre güvenlik araştırmacısı Simon Kenin tarafından sosyal medya platformu X’te.
Bir kurban, aslında kötü amaçlı bir .LNK dosyası olan bir belgeye tıkladığında, bu belge, bir dizi işlemi başlatan, içine gömülü bir PowerShell betiğinin yürütülmesini tetikler. Bunlar arasında .LNK dosyasının içeriğinin okunması ve %temp% konumunda üç farklı dosyaya (bir yem PDF’si, şifrelenmiş veriler ve özel bir MSBuild projesi) yazılması yer alır. MSBuild projesi, yem belgesini açmak için yürütülür.
Gönderiye göre “Bu MSBuild projesi, şifrelenmiş verilerin şifresini çözmek için kod içeriyor ve bu kod daha sonra .log uzantısıyla %temp% konumuna kaydediliyor.” “Daha sonra, yine bir MSBuild projesi olan bu .log dosyasının, arka kapı etkinliklerini gerçekleştirmek için Görev Zamanlayıcı aracılığıyla ‘MSBuild.exe’ kullanılarak yürütülmesi planlanıyor.”
TinyTurla, her biri belirli görevleri yürütmek üzere tasarlanmış birden fazla iş parçacığı kullanarak işlemlerini yönetir. “Kabuk”, bu işlem içinde belirtilen komutu çalıştırmak için yeni bir işlem oluşturarak arka kapının kurbanın makinesinde komutları yürütmesine olanak tanır. “Uyku” işlemi, saldırganların arka kapının uyku aralığını dinamik olarak ayarlamasına olanak tanır.
Arka kapının gerçekleştirdiği diğer işlemler, C2 sunucusundan bir dosya indirmesine ve kurbanın makinesine yerel olarak kaydetmesine olanak tanıyan bir “yükleme” işlemi ve dosyaları kurbanın makinesinden C2 sunucusuna sızdırabilen bir “indirme” işlemidir.
“Bu çeşitli operasyonları koordine ederek arka kapı, çok yönlü bir araç olarak işlev görüyor. [the threat actors],” gönderiye göre. “Bu, tespit edilmekten kaçınırken ve güvenliği ihlal edilmiş sistemler üzerindeki kontrollerini geliştirirken, daha sonra kötü amaçlı faaliyetler gerçekleştirmelerine olanak tanıyor.”
Turla ve Diğer APT’lerin Uzlaşmasını Önlemek
Araştırmacılar, kampanyanın meşru dosyaları taklit etmesi ve sorunsuz dağıtım rutininin tespit edilmesini zorlaştırmasına rağmen, savunucuların uzlaşmayı önlemesinin birkaç yolu olduğunu öne sürdü.
Kampanyanın giriş noktası spam e-postalar olduğundan, güçlü e-posta filtreleme sistemlerinin kullanılması, zararlı eklerin tespit edilip yayılmasını önleyebilir. Ayrıca kuruluşlar, çalışanlarına, özellikle bilinmeyen gönderenlerden gelen e-posta eklerini veya bağlantılarını kullanırken çok dikkatli olmalarını tavsiye etmelidir.
Kampanyada MSBuild’in kötüye kullanılmasıyla ilgili olarak, CRIL’e göre kuruluşlar bu aracın kullanımını yetkili personel veya belirli sistemlerle sınırlandırabilir; bu da “tehdit aktörleri tarafından yetkisiz kullanım riskini azaltacaktır”. Aslında, Rusya merkezli bir APT de bu aracı kötü şöhretli bir şekilde kötüye kullandı. Sıfır oturum açma kampanyası birkaç yıl önce.
Savunmacılar ayrıca aşağıdaki gibi komut dosyası dillerinin yürütülmesini devre dışı bırakmayı veya sınırlamayı da düşünmelidir: Güç kalkanıAraştırmacılar, meşru amaçlar için gerekli olmadıkları takdirde kullanıcı iş istasyonlarında ve sunucularında.
