Bir ilk erişim aracısı (IAB), araştırmacılar tarafından yedi yıl boyunca takip edilmesine ve kuruluşların güvenliğini tehlikeye atmak (ve sonraki fidye yazılımı saldırılarının önünü açmak) için kullanılan araçlar ve taktikler söz konusu olduğunda öngörülebilir bir uyum yakalamasına rağmen hala başıboş bir şekilde çalışıyor. ).
Temmuz 2020 ile Temmuz 2022 arasında Secureworks, takip ettiği grup tarafından “Altın Melodi” (diğer adıyla UNC961’den Mandiant’a ve Prophet Spider’dan CrowdStrike’a) beş ayrı izinsiz giriş tespit etti. Araştırmacılar, kısmen grubun kapsamlı ancak öngörülebilir taktikleri, teknikleri ve prosedürleri (TTP’ler) sayesinde, saldırıların her birinin erken sona erdirildiğini belirtti.
Ancak Secureworks’ün Karşı Tehdit Birimi’nin tehdit araştırması direktörü Rafe Pilling’e göre “ön plana çıkan şey oldukça üretken olmaları ve ticari becerilerinde tutarlı olmaları.”
Gold Melody’nin MO’su: Alçakta Asılı Meyve
Gold Melody, yolun her adımında oportünizm tarafından yönlendiriliyor.
Bu, hedeflerin kendileriyle başlar: yama yapılmamış, İnternet’e yönelik sunucular çalıştıran kuruluşlar.
Güvenlik açığının kesin doğası pek önemli görünmüyor. Son yıllarda grup, Sitecore içerik yönetimi platformunda 9,8 dereceli kritik bir hata olan CVE-2021-42237’den yararlandı; CVE-2017-5638 — Apache Struts’u etkileyen 10 üzerinden 10 puan alan bir başka kritik kusur; meşhur Log4Shell güvenlik açığı ve daha fazlası. Bu güvenlik açıklarının her biri, Gold Melody’nin bunları sorunlu BT ortamlarında istismar etmesinden yıllar önce, kamuya açık olarak biliniyor ve yamanıyordu.
İlk izinsiz girişin ardından grup genellikle Jakarta Server Pages (JSP) Web kabuklarıyla kalıcılık sağlamaya çalışır. 2020’deki bir vakada Perl tabanlı IHS Back-Connect arka kapısını kullandı.
İzinsiz giriş boyunca Gold Melody, ana makine, kullanıcı, dizinler ve daha fazlası hakkındaki bilgileri görüntülemek için Windows veya Linux komutlarını kullanarak kurban ortamında keşif gerçekleştirir. Daha sonra, örneğin Mimikatz kalem testi aracını kullanarak kimlik bilgilerini toplamaya çalışır.
Gold Melody, Mimikatz’ın yanı sıra, Golang tabanlı bir uzaktan erişim Truva atı olan “GOTROJ” gibi yeraltı siber suçlarının yanı sıra uzak bir sunucudan dosya almak için Wget gibi başka açık kaynaklı araçlara da sahiptir ( RAT), kalıcılığın sağlanmasında, keşif yapılmasında ve ana makinede rastgele komutların yürütülmesinde faydalıdır.
IAB’lerden Korkmanın Nedeni
Tarihsel olarak, Gold Melody hedefinin ortamına iyice yerleştiğinde, kontrolü bir bedel karşılığında fidye yazılımı aktörüne devredecektir.
2020 ve 2021’de CrowdStrike, Egregor ve MountLocker fidye yazılımının yayılmasına yol açan saldırıları gözlemledi. Benzer şekilde Mandiant, Gold Melody’nin ortaklarının CryptoDefense fidye yazılımını yüklemesine olanak tanıyan bir uzlaşma gözlemledi. Tüm bu vakalarda fidye yazılımı hedef ağlara Gold Melody’nin işi bittikten birkaç hafta ila birkaç ay sonra ulaştı.
Yani Gold Melody’nin kendisi kalbe korku salmasa bile arkadaşları bunu yapacak. Bu nedenle Pilling, şirketlerin tehlikeyi erkenden ortadan kaldırmak için atabileceği basit adımları vurguluyor; örneğin “çevreyi yamalamak, İnternet’e bakan sistemlerinize – bu güvenlik açığı yönetimi parçası son derece önemlidir.”
Ve şunu ekliyor: “Bu durumlarda, bu etkinliği daha ileri gitmeden önce erken bir aşamada tespit edebiliyoruz. Dolayısıyla uç nokta durumunuzda (ağ bağlantıları ve diğer bulut çözümleri genelinde) bu tür geniş bir görünürlüğe sahip olmak, İşler kontrolden çıkmadan önce erken teşhis için hayati önem taşıyor.”