Cyble Araştırma ve İstihbarat Laboratuvarlarından (CRIL) araştırmacılar önde gelen bir Rus yarı iletken tedarikçisine yönelik hedefli bir kimlik avı saldırısını ortaya çıkardı.
Bu saldırının arkasındaki tehdit aktörleri, yüklerini dağıtmak için CVE-2023-38831 olarak tanımlanan kritik bir Uzaktan Kod Yürütme (RCE) güvenlik açığından yararlandı.
Bu kötü niyetli yük, Mythic C2 çerçevesinin Athena ajanı, güvenliği ihlal edilmiş sistemler üzerinde tam kontrol sağlamak için tasarlanmıştır.
Athena Temsilcisi Yetenekleri ve Özellikleri
Athena Agent, hedeflenen sistemlerde çeşitli eylemleri gerçekleştirmek üzere tasarlanmış, önceden yüklenmiş komutlardan oluşan kapsamlı bir araçla donatılmıştır.
.NET’in çapraz platform sürümü kullanılarak tasarlanan (.Net Framework ile karıştırılmamalıdır), Mythic 3.0 ve daha yenisi için “tam özellikli bir çapraz platform aracıdır”.
Athena, Windows, Linux ve OSX için Çapraz Platform, SOCKS5 Desteği, Ters Bağlantı Noktası Yönlendirme, Montajların yansıtıcı yüklenmesi, Komutların modüler yüklenmesi ve çok daha fazlası gibi özelliklerle yüklü olarak gelir.
Bu eylemler derlemenin enjekte edilmesini, Shellcode’un yürütülmesini, kimlik doğrulama ayrıntılarının yakalanmasını, Beacon Nesne Dosyalarının (BOF’ler) yüklenmesini ve bir dizi başka işlevi kapsar. Bu araç, saldırganın araç setinde kritik bir bileşen görevi görür.
Bunun ardından Group-IB Tehdit İstihbaratı birimi, WinRAR’da ZIP dosyasının işlenmesiyle ilgili açıklanmayan bir güvenlik açığı buldu.
TRARLAB ekibi, 2 Ağustos 2023’te WinRAR’ın son güncellenmiş versiyonunu (sürüm 6.23) yayınlayarak bu güvenlik açığını hızla giderdi. CVE-2023-38831 olarak adlandırılan bu güvenlik açığı, bir saldırı dalgasının odak noktası haline geldi.
Keşfin ardından bu istismar, karanlık ağ topluluğu içinde hızla ilgi görmeye başladı. AegisCrypter’ın da aralarında bulunduğu kötü niyetli aktörler bu istismarı satışa sunmaya başladı.
Ek olarak, bu istismara yönelik bir Kavram Kanıtı (POC), GitHub’da herkesin erişimine sunuldu ve bu da çeşitli saldırgan araç kitlerine entegrasyonuna yol açtı.
Athena kampanyasının teknik analizi
Bu istismarın geniş çapta benimsenmesi, Hindistan hükümet kuruluşlarını ve savunma yüklenicilerini hedef almasıyla bilinen kötü şöhretli APT-36 grubu da dahil olmak üzere çok sayıda tehdit aktörünün bünyesine katılmasına yol açtı.
Ayrıca CRIL, Rusya’daki bu kurbanları hedeflemek için kimlik avı e-postalarından yararlanan hedef odaklı kimlik avı kampanyası da tespit etti. Rusya Sanayi ve Ticaret Bakanlığı’ndan resmi bir iletişim olarak gizlenen e-posta, “resultati_sovehchaniya_11_09_2023.rar” adlı aldatıcı bir arşiv dosyası içeriyordu.
CVE-2023-38831 güvenlik açığından yararlanan bu dosya, Athena Agent’ın teslim edilmesine yönelik araçtı. vSöz konusu güvenlik açığı, WinRAR’da alışılmadık bir davranışı tetikleyerek amaçlanan zararsız dosyanın yanında kötü amaçlı bir CMD betiğinin de çıkarılmasına yol açar. Base64 kodlu bir PowerShell betiği içeren bu betik, Athena Agent’ın indirilmesini ve yürütülmesini düzenler.
Athena Agent, Mythic C2 çerçevesinin önemli bir bileşenidir ve operatörler için işbirliğine dayalı ve kullanıcı dostu bir arayüz sağlar. Platformlar arası uyumluluğu ve çeşitli işlevsellikleri, onu tehlikeye atılmış sistemler üzerinde kontrol kazanmak isteyen tehdit aktörleri için paha biçilmez bir varlık haline getiriyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.