Orta Doğu’daki işletmeler, tehdit aktörleri tarafından çekirdek sürücüsü olarak kullanılan açık kaynaklı bir araçla son birkaç yılda bir dizi hedefli saldırıyla karşı karşıya kaldı.
Fortinet’teki araştırmacılar, açık kaynak araçlarını kullanan şüpheli yürütülebilir dosyaları izlerken, sözde Donut aracının bir örneğini buldular. Özellikle, bu açık kaynaklı kabuk kodu oluşturma aracının, Wintapix sürücüsünün bir varyantıyla birlikte, Suudi Arabistan ve diğer Orta Doğu ülkelerine yönelik hedefli siber saldırılarda kullanıldığı keşfedildi.
Fortinet araştırmacıları Geri Revay ve Hossein Jazi, araştırmalarında yaptıkları bir gönderide, bu sürücünün en azından 2020’nin ortalarından beri vahşi doğada aktif olduğuna, şimdiye kadar rapor edilmediğine ve son birkaç yılda birkaç kampanyada kullanıldığına inandıklarını söylediler.
Özellikle Donut, .NET Assemblies’ten x86 veya x64 kabuk kodu yükleri üretir ve bu kabuk kodu, bellek içi yürütme için isteğe bağlı bir Windows işlemine enjekte edilebilir. Bu saldırıda, Wintapix çekirdeğe yüklenir, burada gömülü bir kabuk kodu uygun bir işlem yerel sistem ayrıcalığına enjekte edilir ve ardından şifrelenmiş bir .NET yükünü yükler ve yürütür.
Fortinet araştırmacılarının yakaladığı bir örnek Şubat 2023’te Virus Total’e yüklendi, ancak Mayıs 2020’de derlendi. Bu sürücünün aynı adlı başka bir çeşidi de o sıralarda derlendi ancak Eylül 2022’de Virus Total’e yüklendi.
Suudi Arabistan Hedeflerine Yönelik Siber Saldırılar Arttı mı?
Fortinet’in telemetrisi, Ağustos ve Eylül 2022’de ve yine Şubat ve Mart 2023’te bu sürücü için arama sayısında gözle görülür bir artış – veya etkinlikte ani artışlar – gösteriyor. Bu, sürücünün arkasındaki tehdit aktörünün bunlar üzerinde büyük kampanyalar yürüttüğünü gösterebilir. tarih. Aslında, araştırmaya göre sürücü aramalarının %65’i Suudi Arabistan’dandı ve bu da onun birincil hedef olduğunu gösteriyor.
Jazi, benzer saldırı vektörlerini (ör. çekirdek sürücüleri) kullanan diğer kötü amaçlı yazılım ailelerinin gözlemlendiğini doğrular, ancak bu, yeni bir kötü amaçlı sürücünün tespit edilmesiydi.
“IIS’yi hedefleme gibi yeni işlevlere sahip [Internet Information Services] kendi içinde benzersiz olan sunucular,” diyor Jazi.
Jazi, hedef alınan belirli dikeyler hakkında daha fazla ayrıntı paylaşamasa da, Suudi Arabistan’ı ve bölgedeki diğer ulusları hedef alan İranlı tehdit gruplarının uzun bir geçmişi olduğuna dikkat çekiyor.
Tehdit Aktörü Kim?
Fortinet araştırmacıları, sürücünün nasıl dağıtıldığının net olmadığını ve bu operasyonun arkasında kimin olduğunu bilmediklerini söylüyor. Raporda, “Gözlemlenen telemetri, bu sürücünün öncelikle Suudi Arabistan’ı hedef alırken, İranlı tehdit aktörlerinin klasik hedefleri olan Ürdün, Katar ve Birleşik Arap Emirlikleri’nde de tespit edildiğini gösteriyor” denildi.
İranlı tehdit aktörlerinin ek kötü amaçlı yazılım dağıtmak için Microsoft Exchange Sunucularından yararlandığı biliniyor, dolayısıyla bu sürücünün Exchange saldırılarıyla birlikte kullanılmış olması olası. Araştırmacılar, “Bu noktaya kadar, sürücülerin derleme süresi, İranlı tehdit aktörlerinin Exchange sunucusu güvenlik açıklarından yararlandığı zamanlarla da uyumlu” diye yazdı.
Bu aşamada hangi örgütlerin hedef alındığı ve saldırganların ne aradığı belli değil. Tenable’da yardımcı araştırma mühendisi Ciarán Walsh, saldırının doğasına ve tehdit unsurunun karmaşıklığına bağlı olarak, bir kampanyanın bunun gibi uzun bir süre fark edilmeden kalmasının tamamen mümkün olduğunu söylüyor. “APT1’in (CommentCrew), siber casusluk kampanyaları sırasında yıllarca tespit edilmeden kurban ağlarında varlığını sürdürdüğü kaydedildi” diyor.
Walsh, tespit edilmeden geçirilen sürenin bir saldırganın karmaşıklığının göstergesi olup olmadığına inanıp inanmadığı sorulduğunda, bir saldırganın karmaşıklığının sayısız faktöre dayandığını ve aynı zamanda bir kampanyanın hedeflerine de bağlı olduğunu söylüyor.
“Casuslukta amaç, bu hedeflere ulaşmak için ne kadar uzun sürerse sürsün fark edilmeden kalmak olacaktır” diyor, “ancak Anonymous Sudan ve onun DDoS kampanyaları gibi aksamaya neden olmayı amaçlayan kampanyalarda, gizli olmak ve bir dayanak sağlamak bir hedef ağ bir öncelik değildir.”
Walsh, güvenlik topluluğu bunları bildiğinden ve bunlara karşı önlem ve düzeltme teknikleri geliştirildiğinden, açık kaynak araçlarının tespit edilme olasılığının daha yüksek olduğunu belirtiyor.
“Otomatik sistemler, algılama mekanizmalarının bir parçası olarak kullanılacak araç hakkında çok az bilgiye sahip olduğundan, özel araçların algılanması çok daha zordur” diyor. “Saldırganlar bazen hedef sistemlerde veya hedef ağlarda bulunan araçları kullanma yaklaşımını benimsiyor.”
Bu kara dışı yaklaşım, Microsoft’un geçen hafta ABD’deki telekom ağlarına ve diğer kritik altyapı hedeflerine erişim sağladığı konusunda uyardığı, Çin’e atfedilen bir APT olan Volt Typhoon tarafından kullanıldı.
Walsh, “Kara dışında yaşamak, bir uyarıyı tetikleyecek herhangi bir şüpheli program veya komut dosyası yürütülmediği için gizliliğe izin veriyor” diyor. “Saldırganlar bunun yerine, bir uyarıyı tetikleme ve hatta şüpheli sayılma olasılığı daha düşük olan, işletim sistemlerinde yerleşik araçlar kullanıyor.”