ABD Siber güvenlik altyapısı ve güvenlik Dairesi, saldırganların kuruluşun DC’sini tehlikeye attığı ve muhtemelen Crypto Miner, Credential Harvester kullandığı ABD Federal ağına yönelik potansiyel bir siber saldırıyı ortaya çıkardı.
İranlı APT bilgisayar korsanları, yama uygulanmamış bir VMware Horizon sunucusundaki Log4Shell güvenlik açığından yararlanarak Federal Sivil Yürütme Şubesi (FCEB) kuruluşuna bir saldırı başlattı.
CVE-2021-44228 (log4Shell), rastgele kod yürütmeyi içeren popüler bir Java günlük kaydı çerçevesi olan Log4j’deki sıfır günlük bir güvenlik açığıydı ve VMware Horizon da dahil olmak üzere çok çeşitli ürünleri etkiliyor.
CISA, saldırının XMRig kripto madenciliği yazılımı yükleyen, yanal olarak etki alanı denetleyicisine (DC) taşınan, kimlik bilgilerini tehlikeye atan ve ardından kalıcılığı sürdürmek için birkaç ana bilgisayara Ngrok ters proxy’leri yerleştiren İran hükümeti destekli bilgisayar korsanları tarafından başlatıldığına inanıyor.
Nisan 2022’de CISA, FCEB çapında bir izinsiz giriş tespit sistemi (IDS) olan EINSTEIN’in yardımıyla FCEB ağında rutin bir soruşturma ve şüpheli kötü amaçlı APT faaliyetleri yürütür.
APT Faaliyetleri İncelemesi
Araştırma sırasında araştırmacılar, ağ ile VMware Horizon sunucularındaki Log4Shell güvenlik açığının (CVE-2021-44228) kötüye kullanılmasıyla ilişkili bilinen kötü niyetli bir IP adresi arasında çift yönlü trafik buldu.
Sonuç olarak, 51.89.181 IP adresinden başlatılan bir HTTPS etkinliği vardı.[.]64’ü kuruluşun VMware sunucusuna yükledikten sonra, daha derinlemesine analiz, IP’nin Log4Shell’i dağıtmak için tehdit aktörleri tarafından çalıştırılan Basit Dizin Erişim Protokolü (LDAP) sunucusuyla ilişkili olduğunu ortaya koyuyor.
“HTTPS etkinliğinin ardından CISA, bu IP adresine 443 numaralı bağlantı noktasında şüpheli bir LDAP geri araması gözlemledi. CISA ayrıca us-nation-ny için bir DNS sorgusu gözlemledi.[.]51.89.181’e geri dönen cf[.]64 kurban sunucu, bu Log4Shell LDAP geri aramasını aktörlerin sunucusuna geri gönderirken.” CISA raporunda söyledi.
Araştırmacılar ayrıca IP 51.89.181’e bir LDAP geri araması buldular.[.]443 numaralı bağlantı noktasındaki 64, Log4Shell güvenlik açığından başarılı bir şekilde yararlandıktan sonra, tehdit aktörleri Etki Alanı Denetleyicisini tehlikeye attı.
Teknik Analiz
İranlı APT tehdit aktörleri başlangıçta kuruluş tarafından dağıtılan yama uygulanmamış bir VMware Horizon sunucusu buldu ve 182.54.217 kötü amaçlı IP adresinden bir bağlantı kurdu.[.]17.6 saniye süren 2.
Saldırganlar, Windows defans tespitinden kaçınmak için aşağıdaki PowerShell komutlarını kullanarak dışlama aracını WD’ye ekledi:
powershell deneyin{Add-MpPreference -ExclusionPath ‘C:\’; Write-Host ‘add-exclusion’} catch {Write-Host ‘adding-exclusion-failed’ }; powershell -enc “Bir sonraki aşamayı indirmek ve çalıştırmak için $BASE64 kodlu yük”
Dışlama aracını ekleyerek, saldırganlar virüs taramasından kaçar ve diğer araçları bilgisayara indirir. c:\sürücü.
Daha sonra bir C2 sunucu iletişimi kurulacak ve faydalı yükten yararlanılacak ve ardından indirilecektir. 182.54.217’den mdeploy.text[.]2/mdepoy.txt dosyasını C:\users\public\mde.ps1 konumuna.
182.54.217’den file.zip dosyasını indirdikten kısa bir süre sonra[.]2’de, AV motoru tarafından yakalanma riskini azaltmak için mde.ps1 diskten silinecektir.
Araştırmacılar dosyanın derinliklerine indiğinde, file.zip bir kripto madenciliği yazılımı taşıyordu ve ayrıca şu adresten yaklaşık 30 megabaytlık dosya indirdi: Aktar[.]sh aşağıdaki araçları içeren sunucu.
- PsExec – sistem yöneticileri için Microsoft imzalı bir araç.
- Mimikatz – bir kimlik bilgisi hırsızlığı aracı.
- Ngrok – bir ters proxy aracı
Mimikatz aracı, kimlik bilgilerini toplamak için VDI-KMS’ye karşı kullanıldı ve saldırganların RDP’den yararlanarak ağ içindeki birkaç ana bilgisayar üzerinde kontrol ele geçirmesini sağlayan sahte bir etki alanı yöneticisi hesabı oluşturdu.
Daha sonra, GUI’nin yardımıyla Windows savunucusunu manuel olarak devre dışı bıraktılar ve sonunda Ngrok yürütülebilir dosyalarını ve yapılandırma dosyalarını yerleştirdiler.
“Tehdit aktörleri, rutin bir yeniden başlatma sırasında bir makineye erişimlerini kaybetmeleri durumunda Ngrok’un kalıcılığını sağlamak için Ngrok’u birden çok ana bilgisayara yerleştirmeyi başardılar.”
Saldırganlar ağda derin bir yer edindikten kısa bir süre sonra, saldırganlar etki alanıyla ilişkili tüm makinelere erişim elde etmek için active directory üzerinde PowerShell komutunu çalıştırdı ve bu işlem, Etki Alanı Denetleyici erişimini kazandıktan sonraki bir yanal anda başarıyla gerçekleştirildi. .
Son olarak, tehdit aktörleri, hileli alan adı yönetici erişiminin tespit edilmesi ve sonlandırılması durumunda yerel yönetici şifresini yedek olarak değiştirmiştir.
Azaltma:
CISA ve FBI, etkilenen VMware sistemlerine sahip olan ve mevcut yamaları hemen uygulamayan ve hafifletici önlemleri takip etmeyen tüm kuruluşlara tavsiyelerde bulundu:
- Etkilenen VMware Horizon ve UAG sistemlerinin en son sürüme güncellendiğinden emin olmak için güncellenmiş yapıları yükleyin.
- Tüm yazılımları güncel tutun
- İnternete dönük saldırı yüzeyini en aza indirin
- Kimlik ve erişim yönetimi (IAM) için en iyi uygulamaları kullanın
- Günlüğe kaydedilecek etki alanı denetleyicilerini denetleyin
- Bilinen güvenliği ihlal edilmiş kimlik bilgilerinin bir reddetme listesi oluşturun
- Hesapların ve kimlik bilgilerinin nerede kullanılabileceğini kısıtlayarak kimlik bilgilerini güvenli hale getirin.
Azure Active Directory Güvenliği – Ücretsiz E-Kitap İndirin