Siber güvenlik firması Deep Instinct, saldırganların nispeten yeni bir trend olan eski sıfır gün saldırılarını dağıtmak için Cobalt Strike yükleyicisini kullandığını keşfetti. Bu konuyu daha derinlemesine inceleyelim.
Deep Instinct Threat Lab, Ukrayna’ya karşı, bilgisayar korsanlarının eski bir sıfır gün güvenlik açığı olan CVE-2017-8570’i başlangıç vektörü ve özel bir yükleyici olarak Cobalt Strike Beacon için tasarlanmış profesyonel bir pen-test aracı olarak kullandığı, Ukrayna’ya yönelik hedefli bir operasyon keşfetti. kırmızı ekipler tarafından bilgisayar güvenliğinin değerlendirilmesi. Ancak bu saldırıda hackerlar hiçbir meşru kullanıcısı olmayan crackli bir versiyon kullanmışlardır.
Ukrayna’nın sistemlerini hedef alan Cobalt Strike Beacon’ı başlatmak için 2017’de tanımlanan eski bir Microsoft Office güvenlik açığı olan CVE-2017-8570’i kullandılar. Mayın temizleme tank bıçakları için eski bir ABD Ordusu talimat kılavuzu olarak gizlenen kötü amaçlı bir PPSX (PowerPoint Slayt Gösterisi) dosyası kullandılar, geleneksel güvenlik önlemlerini atladılar ve yükü gizlemelerine ve analizi karmaşıklaştırmalarına olanak tanıdılar. Dosya, yükü gizlemek ve analizi karmaşık hale getirmek için HTTPS URL’sinden önce bir “komut dosyası:” öneki kullandı.
“Cazibenin askeri içerikli olması, askeri personeli hedef aldığını gösteriyor. Ancak weavesilk(.)space ve petapixel(.)fun alan adları, belirsiz bir üretken sanat sitesi (weavesilk(.)com) ve popüler bir fotoğraf sitesi (petapixel(.)com) olarak gizleniyor. Bunlar birbiriyle ilgisiz ve bir saldırganın bunları özellikle askeri personeli kandırmak için kullanması biraz kafa karıştırıcı.”
Derin İçgüdü
Hedefli saldırılarda yaygın olarak kullanılan kötü niyetli, çok yönlü bir araç seti olan Cobalt Strike yükleyicisinin kullanılması, saldırganların karmaşık bir yaklaşım sergilediğini gösteriyor. Cobalt Strike, saldırganların kötü amaçlı yazılım dağıtmasına, verileri çalmasına ve güvenliği ihlal edilmiş sistemlerde kalıcılığı korumasına olanak tanır. Ukrayna bağlamında, bu sıfır gün istismarlarının etkilerini en üst düzeye çıkaracak bir dağıtım mekanizması olarak kullanılıyor.
Deep Instinct’in araştırması, saldırganların, güvenlik yazılımı satıcıları tarafından bilinmeyen güvenlik açıkları olan sıfır gün açıklarından aktif olarak yararlandığını gösteriyor. Geleneksel savunmalar onları tespit edip engelleyemeyebileceği için bu durum onları özellikle tehlikeli hale getiriyor.
Araştırmacılar, saldırıları bilinen herhangi bir tehdit aktörüne bağlayamadı veya kırmızı takım tatbikatı olasılığını göz ardı edemedi. Kanıtlar, örneğin Ukrayna’dan yüklendiğini, ikinci aşamanın bir Rus VPS sağlayıcısı tarafından barındırıldığını ve Cobalt işaret C&C’sinin Polonya’nın Varşova kentinde kayıtlı olduğunu gösteriyor.
“Son 4 yılda gördüğümüz > 12 aylık uç cihaz ve e-posta sunucusu CVE’lerine yönelik n günlük istismar eğilimleri göz önüne alındığında, bir tehdit aktörünün 2017’deki Wine güvenlik açığından yararlandığını görmek garip bir şekilde canlandırıcı.“ Bugcrowd Kurucusu ve Baş Strateji Sorumlusu Casey Ellis şunları söyledi:
“Belgelenmemiş düşük seviyeli WinAPI çağrılarının kullanımı da alışılmadık bir durumdur. Tehdit analistlerinin ilişkilendirme konusunda neden zorluk yaşadığını anlayabiliyorum; bu ezoterik ve biraz inek bir ölüm zinciri.“ Casey açıkladı.
“Teknik detayların yanı sıra, Rusya’nın olmaması dikkat çekici ve TTP’ler daha önce bilinmeyen bir oyuncuyu akla getiriyor. Cobalt Strike’ın C2 olarak kullanımı oldukça yaygındır ve buradaki en önemli çıkarım, kolayca unutulan yazılımlardaki eski güvenlik açıklarının hâlâ önemli olduğudur.“
Nasıl Güvende Kalınır?
Deep Instinct’in araştırması, geleneksel güvenlik çözümlerinin sıfır gün saldırıları için yeterli olmayabileceğini öne sürüyor. Kuruluşlar, davranış analizi ve makine öğrenimi yoluyla gelişmiş tehdit tespitini benimsemelidir. Özellikle Ukrayna’yı hedef alan siber tehditler ve güvenlik duvarları ile antivirüs yazılımlarını birleştiren proaktif bir savunma stratejisi konusunda dikkatli olmak da çok önemlidir.
İLGİLİ KONULAR
- APT’ler Yama Kullanılabilirliğine Rağmen WinRAR 0day Kusurundan Yararlanıyor
- Linux sunucularında Monero madenciliği için kullanılan 5 yıllık güvenlik açığı
- Protestware Gazze, Ukrayna’da Barış Çağrısı Yapmak İçin NPM Paketlerini Kullanıyor
- Windows Defender’daki 12 Yıllık güvenlik açığı 1 milyar cihazı riske attı
- Windows sunucularında 17 yıllık “solunabilir” SigRed güvenlik açığı bulundu