Güvenlik Araştırmalarında Dikkat Çeken Bir Siber Saldırı
Son günlerde siber güvenlik alanında dikkat çekici bir saldırı ortaya çıktı. Bilinmeyen tehdit aktörlerinin, kötü niyetli amaçlar için yaygın bir şekilde kullanılan açık kaynaklı bir araç olan Velociraptor‘u kullandığı bildirilmektedir. Bu durum, meşru yazılımların kötüye kullanımına yönelik devam eden bir eğilimi göstermektedir.
Sophos’un Karşı Tehdit Birimi’nin yayınladığı rapora göre, saldırganlar bu aracı kullanarak Visual Studio Code‘u indirip yürütmeye çalıştı. Amaçları, saldırganın kontrolü altında bulunan bir komut ve kontrol (C2) sunucusuna bir tünel oluşturmak görünmektedir. Saldırganların, yaşayan kaynakları kullanma yöntemi (lotl) benimsemesi veya meşru uzaktan izleme ve yönetim (RMM) araçlarını kötüye kullanması bilinse de, Velociraptor’un kullanılması ileri bir taktik evrimi işaret ediyor.
Hücre Noktası Olarak Velociraptor
Saldırının detayları incelendiğinde, saldırganların Windows msiexec yardımcı programını kullanarak bir MSI yükleyicisini Cloudflare Workers alanından indirdiği ortaya çıktı. Bu alan, saldırganların kullandığı diğer araçlar için bir sahne alanı olarak hizmet vermektedir. Burada dikkat çeken diğer araçlar arasında Cloudflare tünelleme aracı ve uzaktan yönetim aracı olan Radmin bulunmaktadır.
MSI dosyası, Velociraptor’u kurmak için tasarlanmıştır. Kurulumun ardından, bu araç başka bir Cloudflare Workers alanı ile iletişim kurar. Ardından, aynı sahne sunucusundan Visual Studio Code indirir ve tünel seçeneği etkinleştirilmiş durumda kaynak kodu düzenleyicisini çalıştırarak hem uzaktan erişime hem de uzaktan kod yürütmeye olanak tanır. Saldırganlar, msiexec Windows yardımcı programını tekrar kullanarak ek yüklemeler indirmeye devam etmiştir.
Sophos, “Kuruluşlar, Velociraptor’un yetkisiz kullanımlarını izlemeli ve incelemelidir. Bu tür teknikler, ransomware (fidye yazılımı) saldırılarının öncüsü olarak düşünülmelidir,” demektedir. Uç nokta tespiti ve yanıt sistemleri uygulamak, beklenmedik araçlar ve şüpheli davranışlar için izleme yapmak ve sistemleri güvence altına almanın yanı sıra yedekleme en iyi uygulamalarına uymak, ransomware tehdidini azaltabilir.
Microsoft Teams Üzerinden Yeni Tehditler
Çeşitli siber güvenlik firmaları, kötü niyetli bir kampanyanın Microsoft Teams‘i başlangıç noktası olarak kullandığını ortaya koydu. İşe alım sürecinde kurumsal iletişim için sağlam bir temel oluşturan bu platformun, siber suçlular tarafından kötüye kullanılması dikkat çekmektedir. Bu saldırılar, saldırganların yeni oluşturulmuş veya ele geçirilmiş kiracılar kullanarak hedeflerine doğrudan mesajlar göndermeye başlamasıyla başlıyor.
Saldırganlar, IT yardım masası çalışanları veya başka güvenilir kişiler olarak kurbanlarını kandırarak AnyDesk, DWAgent veya Quick Assist gibi uzaktan erişim yazılımlarını kurmalarını sağlamakta ve kurban sistemlerini ele geçirmekte başarılı olmaktadır. Bu teknikler, ransomware gruplarıyla ilişkilendirilen uzaktan erişim araçlarının kullanımını artırmaktadır.
Permiso’dan araştırmacı Isuf Deliu, “Kullanılan tuzaklar, genelde Microsoft Teams performansı ile ilgili olarak, sistem bakımı veya teknik destek konuları çerçevesinde sunulmakta ve günlük kurumsal iletişimin içine gömülmektedir,” demektedir. Böylece bu tür saldırılar, şüphe çekme olasılığını azaltmaktadır.
Ayrıca, saldırılar, kullanıcıların şifrelerini sahte bir sistem yapılandırma talebi altında girmelerini sağlamak için bir Windows kimlik bilgisi istemi göstererek, bu bilgileri toplamakta ve sistemde bir metin dosyasında kaydetmektedir.
Malvertising ve Yeni Tehditler
Siber dünyada başka bir tehdit olarak, malvertising kampanyaları yer almaktadır. Bu kampanyalar, meşru office[.]com bağlantılarını ve Active Directory Federation Services (ADFS)‘i kullanarak kurbanları Microsoft 365 phishing (oltalama) sayfalarına yönlendirmektedir. Saldırı zinciri, mağdurun, arama motoru sonuç sayfalarındaki sahte sponsor bağlantısına tıklamasıyla başlamaktadır.
Push Security’den Luke Jennings, “Saldırgan, Active Directory Federation Services (ADFS) yapılandırılmış özel bir Microsoft kiracısı oluşturmuştu. Bu, Microsoft’un kötü amaçlı özel alan adına yeniden yönlendirme yapması anlamına gelmektedir,” demektedir. Bu durum, saldırganların kendi Microsoft ADFS sunucularını ekleyerek oltalama sayfalarını barındırmalarına olanak tanımaktadır ve URL tabanlı tespitlerin daha da zorlaşacağını göstermektedir.
