‘Seasshell Blizzard’ ve ‘Sandworm’ olarak da bilinen Rus devlet destekli hack grubunun APT44’ünün bir alt grubu, ‘Badpilot’ olarak adlandırılan çok yıllı bir kampanyada kritik organizasyonları ve hükümetleri hedefliyor.
Tehdit oyuncusu en az 2021’den beri aktiftir ve aynı zamanda enerji, petrol ve gaz, telekomünikasyon, nakliye ve silah üretim sektörlerindeki kuruluş ağlarını ihlal etmekten de sorumludur.
Microsoft’un tehdit istihbarat ekibi, aktörün hedef sistemlere ilk erişim sağlanmaya, kalıcılığa sahip olmaya ve diğer APT44 alt gruplarının, kompromise sonrası uzmanlığa sahip diğer APT44 alt gruplarının devralmasına izin vermek için varlığını sürdürmeye adadığını söylüyor.
BleepingComputer ile paylaşılan bir Microsoft raporu, “Ayrıca ilk erişim alt grubunu, deniz kabuğu kar fırtınası bağlantılı yıkıcı saldırıdan önce bir kuruluşa erişim izlemek için gözlemledik.”
Microsoft’un değerlendirmesi, “Seasshell Blizzard’ın yeni istismarlar edinildikçe operasyonlarını yatay olarak ölçeklendirmek ve Rusya ile ilgilenen mevcut ve gelecekteki sektörlere kalıcı erişimi sürdürmek için bu ilk erişim alt grubunu kullanmasıdır.”
Hedefleme kapsamı
Microsoft’un alt grubun faaliyetine ilişkin en eski gözlemleri, kritik sektörlere odaklanan Ukrayna, Avrupa, Orta ve Güney Asya ve Orta Doğu’yu hedefleyen fırsatçı operasyonları göstermektedir.
2022’den başlayarak, Rusya’nın Ukrayna’yı işgalinden sonra, alt grup, hükümet, askeri, ulaşım ve lojistik sektörleri de dahil olmak üzere Ukrayna’yı destekleyen kritik altyapıya karşı operasyonlarını yoğunlaştırdı.
Onların müdahaleleri istihbarat toplama, operasyonel aksamalar ve hedeflenen sistemlerde verileri bozmayı amaçlayan silecek saldırılarını amaçladı.
Microsoft’un alt grubun spesifik faaliyetine ilişkin olarak, “Alt grubun 2023’ten beri Ukrayna’da en az üç yıkıcı siber saldırıyı sağladığını değerlendiriyoruz.”
2023 yılına gelindiğinde, alt grubun hedefleme kapsamı genişlemişti, Avrupa, ABD ve Orta Doğu’da büyük ölçekli uzlaşmalar sağladı ve 2024’te ABD, İngiltere, Kanada ve Avustralya’ya odaklanmaya başladı.
Kaynak: Microsoft
Başlangıç Erişim ve Kompromise Sonrası Etkinlik
APT44 alt grup, internete dönük altyapı, kimlik bilgisi hırsızlığı ve tedarik zinciri saldırılarında N-Day güvenlik açıklarından yararlanmak da dahil olmak üzere ağları tehlikeye atmak için birden fazla teknik kullanır.
Tedarik zinciri saldırıları özellikle Avrupa ve Ukrayna’daki kuruluşlara karşı etkili oldu, burada bilgisayar korsanları bölgesel olarak BT hizmet sağlayıcılarını yönetti ve daha sonra birden fazla müşteriye erişti.
Microsoft, aşağıdaki güvenlik açıklarının ağ taramalarını ve sonraki sömürü girişimlerini gözlemlemiştir:
- CVE-2021-34473 (Microsoft Exchange)
- CVE-2022-41352 (Zimbra İşbirliği Süiti)
- CVE-2023-32315 (OpenFire)
- CVE-2023-42793 (Jetbrains TeamCity)
- CVE-2023-23397 (Microsoft Outlook)
- CVE-2024-1709 (Connectwise Screenconnect)
- CVE-2023-48788 (Fortinet Forticlient EMS)
Erişim elde etmek için yukarıdaki güvenlik açıklarından yararlandıktan sonra, bilgisayar korsanları ‘localolive’ gibi özel web mermilerini dağıtarak kalıcılık kurdu.
2024’te APT44 alt grubu, tespit edilen sistemlerde komutları yürütmek için Atera Agent ve Splashtop uzaktan hizmetleri gibi meşru BT uzaktan yönetim araçlarını kullanmaya başladı.
İnis sonrası erişim etkinliği ile ilgili olarak, tehdit aktörleri, kimlik bilgilerini çalmak için ProcDump veya Windows kayıt defterini ve gizli ağ tünelleri aracılığıyla veri açığa çıkması için RCLone, keski ve plink kullanır.
.jpg)
Kaynak: Microsoft
Araştırmacılar, Tehdit Oyuncusu Tor Network’ten trafiği “etkilenen varlığa gelen tüm bağlantıları etkili bir şekilde gizlemek ve hem aktör hem de kurban ortamından kaynaklanan maruziyetleri sınırlamak” için yeni bir teknik gözlemlediler.
Son olarak, alt grup, ağın tüm parçalarına ulaşmak için yanal hareket gerçekleştirir ve altyapıyı operasyonları için gerektiği gibi değiştirir.
Değişiklikler, DNS yapılandırma manipülasyonları, yeni hizmetlerin ve planlanan görevlerin oluşturulması ve benzersiz genel anahtarlarla OpenSSH kullanarak arka kapı erişiminin yapılandırılmasını içerir.
Microsoft, Rus hacker alt grubunun “Gebe’ye yakın erişim” olduğunu ve Seasshell Blizzard’ın coğrafi hedeflemesini genişletmesine yardımcı olduğunu söylüyor.
Bugün yayınlanan raporda araştırmacılar, savunucuların bu tehdit oyuncusunun faaliyetini yakalamaları ve daha önce durdurmaları için avlanma sorgularını, uzlaşma göstergelerini (IOCS) ve Yara kurallarını paylaşıyor.