Yönetilen algılama ve yanıt (MDR) uzmanı eSentire’deki güvenlik araştırmacıları, Birleşik Krallık, Avustralya ve Kanada’daki hukuk firmalarında ve şirket içi hukuk departmanlarında çalışan binlerce kişiyi cezbeden geniş kapsamlı bir siber suç operasyonunun durumunu nasıl değiştirdiklerini açıkladılar. ve son 15 ayda ABD.
Gootloader olarak bilinen operasyon, kurban ağlarına ilk erişimi elde etme konusunda uzmanlaşıyor ve ardından bunu, 2020’de o zamanki ABD başkanı Donald Trump’ı temsil eden bir hukuk firmasını hackleyen REvil fidye yazılımı operasyonu da dahil olmak üzere, aşağı yönlü siber suçlulara hizmet olarak sunuyor. .
Gootloader, en az 2020’den beri uzun süredir devam eden bir tehdit olmuştur ve 2021’de CISA’nın en büyük tehditlerinden biri olarak seçilmiştir.
ESentire’nin Joe Stewart ve Keegan Keplinger liderliğindeki Tehdit Müdahale Birimi (TRU), çalışanların Gootloader operatörlerinin arama olarak bilinen bir teknik kullanarak Google arama sıralamasında üst sıralara çıkardıkları güvenliği ihlal edilmiş WordPress bloglarına çekildiği 12 farklı kuruluşa yönelik saldırıları durdurdu. motor optimizasyonu (SEO) zehirlenmesi.
Bu bloglardan, sahte yasal anlaşmalar ve sözleşmeler kılığında Gootloader kötü amaçlı yazılımını indirmeleri istendi ve böylece operasyona sistemlerine erişim izni verildi.
Stewart, “Gootloader, çevrimiçi ticari bilgiler ve yasal formlar arayanları besleyen kurnaz ve tehlikeli bir tehdittir” dedi. “Masum kullanıcılar, farkında olmadan kendilerini fidye yazılımı saldırılarına maruz bırakarak Gootloader’ın sahte gönderileri tarafından kolayca kandırılabilir.
“Gölgelerde, bir sonraki masum kurbanının tökezleyip yakalanmasını bekleyen bir tuzak gibi. İnternetin bu karanlık köşesine ışık tutmak ve sadece işlerini yapmak için ihtiyaç duydukları bilgileri bulmaya çalışanları korumak güvenlik araştırmacılarının görevi.”
Nasıl çalışır
Gootloader söz konusu olduğunda, operasyon, kartlarını öyle bir şekilde göğsüne yakın tutar ki, kötü amaçlı yükler, güvenliği ihlal edilmiş WordPress sitelerinin oturum açmış kullanıcılarına asla gösterilmez, yani site yöneticileri bile bunların tamamen farkında olabilir. Avantajı. Ayrıca, yöneticilerin IP adreslerini ve WordPress oturumlarını kapatsalar bile kötü amaçlı sayfaları görüntülemelerini engellemek için IP adreslerinin üstündeki ve altındaki birkaç ağ bloğunu engeller.
Bu engellenenler listesi özellikleri aynı zamanda kötü amaçlı yükü gerçekten ileten sunucuda yerleşiktir; bir kurban bunu yalnızca bir kez alabilir ve ardından, Gootloader’ın tehlikeye attığı herhangi bir sitede 24 saat boyunca engellenir.
Bu biraz mantığa aykırı görünebilir, ancak araştırmacıların veya olaya müdahale ekiplerinin – güvenliği ihlal edilmiş bir siteyi tekrar ziyaret etmek isterlerse kendi kimliklerini gizlemeleri gereken – soruşturmalarının önünde bir engel olduğu için kısmen bir şaşırtma taktiğidir.
Stewart ve Keplinger’in şimdi kendi avantajlarına çevirdikleri bu özellik. Bir kurban her geldiğinde, Gootloader sunucusu, burada ilgili faktör olan IP adresleri de dahil olmak üzere birkaç farklı türde veri alır.
Sunucu, söz konusu IP adresini beslemek için güvenliği ihlal edilmiş bloga güvendiğinden, sunucuya “meşru” bir isteği taklit eden “kötü niyetli” bir istek hazırlayarak, internetteki herhangi bir IPv4 adresinin Gootloader güvenliği ihlal edilmiş herhangi bir blogu görmesini engellemek mümkündür.
Ayrıca, Gootloader sunucusu kurbanın IP adresinin üstündeki ve altındaki IP adreslerinin net bloklarını engellediğinden, Gootloader sunucusuna her 24 saatte bir toplam 800.000 istek göndererek tüm küresel IPv4 ağ alanını korumak mümkündür.
Ama burada bitmiyor. Stewart ve Keplinger, WordPress site yöneticilerini karanlıkta tutan engelleme listesini “kötüye kullanarak”, vekil IP adreslerini kullanarak İnternet’in büyük bir bölümünü kalıcı olarak engellemeyi başardılar – ancak yalnızca kullanıcı kaydı olan veya üçüncü taraf kullanan Gootloader sitelerinden. OAUTH oturumları etkinleştirildi.
Araştırmacılar, bu teknikleri Gootloader’a karşı eSentire MDR for Network hizmetinde uyguladıktan sonra tek bir müşterinin bile tehlikeye atılmadığını iddia ettiler. Stewart ve Keplinger şimdi başkalarıyla ortaklıklar ve işbirlikleri yoluyla bu sözü daha da yayıyorlar.
Stewart, “Gootloader tehdit aktörünün yükleri teslim etme konusundaki kendi kriterlerinden yararlanarak, binlerce IP’nin Gootloader yükünü almasını engelleyebildik ve potansiyel kurban havuzunu önemli ölçüde azalttık” dedi.
“Gootloader Operasyonunu bozmamıza ve masum kullanıcıları bu tehlikeli kötü amaçlı yazılımın tuzağına düşmekten korumamıza yardımcı olan benzersiz bir yaklaşımdı” dedi. “Bu tehdide karşı mücadele etmek için yaptığımız işten gurur duyuyorum ve umarım yaklaşımımız başkalarına kötü amaçlı yazılımlara karşı korunmak için benzer taktikler benimseme konusunda ilham verir.
“Güvenliği ihlal edilmiş WordPress bloglarındaki yüzbinlerce gizli Gootloader açılış sayfasını ortaya çıkarmak için bir paletli oluşturmak küçük bir başarı değildi. Bu sayfaları verimli bir şekilde tarayabilen ve tanımlayabilen bir araç oluşturmak için önemli bir araştırma ve geliştirme süresi gerekiyordu. Ancak, bu açılış sayfalarını ortaya çıkarmanın ve bu bilgileri diğer güvenlik araştırmacıları ve kuruluşlarıyla paylaşmanın getirisi her şeye değdi. İş birliği yaparak ve bulgularımızı paylaşarak, bu tehlikeli kötü amaçlı yazılımla mücadele etmek ve masum kurbanları Gootloader’ın fidye yazılımı operatörünün müşterileri için bir sonraki hedef haline gelmekten korumak için birlikte çalışabiliriz.”
Yine de Stewart, kuruluşlarında WordPress sitelerini işletenlerin kendi siber güvenliklerini geliştirmek ve kendilerini Gootloader’ın yem havuzuna düşmekten korumak için daha fazla adım atmasının da zorunlu olduğunu söyledi.
“Operatörler site güvenliğini ihmal ederek sadece kendi verilerini riske atmıyorlar, aynı zamanda bir bütün olarak internetin güvenliğini ve güvenliğini tehdit eden daha büyük bir soruna da katkıda bulunuyorlar” dedi. “Web varlıklarının güvenliğini sağlamak ve Gootloader gibi kötü amaçlı yazılımların sitelerini kullanarak masum kullanıcılara zarar vermesini önlemeye yardımcı olmak her web sitesi sahibinin görevidir.”
REvil bağlantıları
Çalışmaları sırasında, Stewart ve Keplinger ayrıca Gootloader ile kötü şöhretli REvil fidye yazılımı ekibi arasında çok yıllı bir süre boyunca ortalığı kasıp kavuran uzun süredir varsayılan bağlantıları güçlendirdi – muhtemelen en önemli operasyonları Kaseya tedarik zinciri saldırısıydı.
İngilizce, Fransızca, Almanca ve Korece konuşan kuruluşları ve özellikle İngilizce konuşulan ülkelerdeki hukuk firmalarını hedef alan çeşitli REvil kampanyalarının zamanlamasını analiz ederek, REvil’in ilk kez Gandcrab’ın halefi olarak ortaya çıktığı 2019’dan itibaren ikisinin birlikte çalıştığını kanıtladılar. 2022’ye kadar.
Gootloader’ın kurbanları neredeyse sürekli olarak REvil’e beslediğine ve bu nedenle fidye yazılımı çetesinin başarısında “ayrılmaz bir faktör” olduğuna inanıyorlar ve Gootloader hala aktif olarak kurbanları netleştirdiği için, operatörlerinin bugüne kadar REvil’in halefi olan bir operasyonla çalışıyor olması olası. veya daha kötüsü, Keplinger’in açıkladığı gibi, Rus devlet destekli gruplar.
“Birçok [REvil members] İddiaya göre Ocak 2022’de, Ukrayna işgalinden hemen önce Rus hükümeti tarafından tutuklandı” dedi.
“Rusya’nın 2022’de Ukrayna’yı işgal etmesinin ardından, REvil çetesi üyelerinin kovuşturulması durmuş gibi göründü, tıpkı yakın zamanda bazı sanıkların avukatlarının müvekkillerine ‘Rus güvenlik servislerinde çalışmak üzere serbest bırakılmalarını’ önerdiği ve ‘ Eski sanıkların benzersiz deneyimi, Ukraynalı bilgisayar korsanlarına karşı mücadelede Rus özel servisleri için kesinlikle faydalı olacaktır’.”