Bilgisayar korsanları, ülkenin ekonomik ve teknolojik üstünlüğü nedeniyle sıklıkla ABD kuruluşlarını hedef alıyor ve aşağıdaki amaçlar için değerli veriler arıyor: –
- Finansal kazanç
- Siber casusluk
- Jeopolitik motivasyonlar,
- Teknolojik açıklardan yararlanma isteği
Unit 42’deki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının yeni bilgisayar korsanlığı araçlarının yardımıyla ABD kuruluşlarına aktif olarak saldırdığını belirtti.
Bilgisayar korsanları, ABD merkezli kuruluşların yanı sıra aşağıdaki ülkelerdeki kuruluşları da hedef alıyor:
Bilgisayar korsanlarının kullandığı yeni bilgisayar korsanlığı araçları, aşağıdaki yasa dışı faaliyetleri gerçekleştirmek için kullanıldı: –
- Arka kapı yeteneklerini oluşturun
- Komuta ve kontrol için (C2)
- Kullanıcı kimlik bilgilerini çalmak
- Gizli bilgileri sızdırın
Güvenliği Tehlike Altına Giren Kuruluşların Endüstrileri
Aşağıda, aşağıdaki sektörlere ait güvenliği ihlal edilmiş tüm kuruluşlardan bahsettik: –
- Eğitim
- Emlak
- Perakende
- Kâr amacı gütmeyen kuruluşlar
- Telekom şirketleri
- Hükümetler
Yeni Hacking Araçları Seti
Tehdit aktörleri, toplu iş ve PowerShell komut dosyaları için tutarlı dosya adları kullanarak kuruluşlar genelinde aşağıdaki dizinlere araçlar dağıttı: –
Aşağıda, toplu iş ve PowerShell komut dosyaları için tüm benzer dosya adlarından bahsettik: –
- c:\windows\temp\crs.ps1
- c:\windows\temp\ebat.bat
- c:\windows\temp\install.bat
- c:\windows\temp\mslb.ps1
- c:\windows\temp\pb.ps1
- c:\windows\temp\pb1.ps1
- c:\windows\temp\pscan.ps1
- c:\windows\temp\set_time.bat
- c:\windows\temp\usr.ps1
Saldırganlar aşağıdaki araçları ve kötü amaçlı yazılımları kullandılar ve her oturumdan sonra ortamı temizlemek için cleanmgr.exe kullanıldı: –
- Ntospy (Etkilenen kuruluşlarda kullanılır)
- Mimilite (Kar amacı gütmeyen kuruluşlar ve devletle ilgili kuruluşlarla sınırlıdır)
- Memur Racoon (Kar amacı gütmeyen kuruluşlar ve devletle ilgili kuruluşlarla sınırlıdır)
Kimlik bilgilerini çalmak için tehdit aktörü, 2004’ten bu yana belgelenen bilinen bir teknik olan Ağ Sağlayıcı modülü olarak özel bir DLL kullandı.
Birim 42 tarafından Ntospy olarak adlandırılan kötü amaçlı yazılım ailesi, kimlik doğrulama sürecini ele geçirerek, kimlik doğrulama denemeleri üzerine kullanıcı kimlik bilgilerine erişiyor.
Tehdit aktörü, reg.exe ile C:\Windows\Temp\install.bat komut dosyasını kullanarak credman Ağ Sağlayıcısı aracılığıyla DLL modülünü yükler.
Bunun yanı sıra, DLL yolu şu şekilde ayarlanmıştır: –
- c:\windows\system32\ntoskrnl.dll
Araştırmacılar, RichPE başlık karması ve PE bölümleri gibi paylaşılan statik özelliklere dayanarak DLL modüllerini aynı kötü amaçlı yazılım ailesine bağladı.
Aynı RichPE başlık karmalarına sahip örnekler aynı ortamda derlendi. Farklı yapı ortamlarına sahip olanlar bile benzer davranışlar sergiler ancak uygulamada farklılık gösterir.
Tehdit aktörleri, kimlik doğrulama ve veri toplama için Mimilite adlı özelleştirilmiş bir Mimikatz aracı kullanıyor.
Araç, komut satırı bağımsız değişkenini anahtar olarak kullanarak yükünün şifresini çözer ve yürütme öncesinde MD5 karma kontrolüyle bütünlüğü doğrular.
Dökümü yapılan kimlik bilgileri C:\Windows\Temp\KB200812134.txt dosyasında depolanır ve etkinlik bir Microsoft güncellemesi gibi görünür.
.NET tabanlı Agent Racoon kötü amaçlı yazılımı, C2 iletişimi için gizli bir DNS kanalı oluşturur ve adını Unit 42 araştırmacıları tarafından keşfedilen gömülü referanslardan alır.
Aşağıda Ajan Racoon’un tüm işlevlerinden bahsettik: –
- Komut yürütme
- Dosya yükleme
- Dosya indiriliyor
Birim 42, e-posta verilerinin yanı sıra Gezici Profil sızıntısını da buldu. Tehdit aktörü, certutil.exe aracılığıyla bırakılan 7-Zip’i kullanarak dizini sıkıştırdı ve dosyayı sızmak için 100 MB’lık parçalara böldü.
Üstelik araştırmacılar bu araç setini henüz belirli bir tehdit aktörü veya tehdit grubuyla ilişkilendirmedi.