Secret Blizzard, KRYPTON ve UAC-0003 olarak da bilinen Turla, Rusya Federal Güvenlik Servisi (FSB) ile ilişkilendirilmiş bir Gelişmiş Kalıcı Tehdit (APT) grubudur.
Bu grup, karmaşık ve kalıcı siber tehdit faaliyetleriyle ün kazandı.
Batı çıkarlarını hedef almalarıyla tanınan tehdit aktörleri, yakın zamanda diğer saldırıların yanı sıra MEDUSA Operasyonu aracılığıyla Snake siber casusluk botnet’ini bozmaya dahil oldular.
Microsoft Tehdit İstihbaratı’ndaki siber güvenlik araştırmacıları ve Ukrayna CERT-UA hükümetinin bilgisayar acil durum müdahale ekibi, Turla’nın son saldırılarında yeni bir kötü amaçlı yazılım olan CAPIBAR (aka DeliveryCheck, GAMEDAY) ile savunma sanayisini ve Microsoft Exchange sunucularını hedef aldığı konusunda uyarıda bulundu.
Microsoft, Exchange Server Saldırılarına Karşı Uyardı
Aşağıda, Microsoft Tehdit İstihbaratının tweet attığı tüm tweet’lerden bahsettik: –
Exchange Sunucularını Hedef Alan Bilgisayar Korsanları
Excel XLSM eklerinde bulunan kötü amaçlı makrolara sahip kimlik avı e-postaları saldırıları başlatır ve makroları etkinleştirmek, zamanlanmış bir görev aracılığıyla bir Firefox tarayıcı güncelleyiciyi taklit eden bir PowerShell komutu çalıştırır.
Kötü amaçlı yüklerin konuşlandırılması ve alınan komutların yürütülmesi için, zamanlanan görev CAPIBAR kötü amaçlı yazılımını indirir. Bu görev aynı zamanda kötü amaçlı yazılımı bellekte başlattıktan sonra tehdit aktörünün kontrolündeki C&C sunucusuna bağlar.
Arka kapı, tehdit aktörlerinin cihazlara bulaştıktan sonra Rclone yoluyla veri sızdırmasına olanak tanır. Özellikle CAPIBAR, Microsoft Exchange sunucusunu bir komuta ve kontrol sunucusuna dönüştürerek onu diğer tehditlerden ayırır.
Bir PowerShell modülü yardımıyla “Desired State Configuration” Microsoft Exchange sunucu tarafı bileşeni kurulur.
Bu modül, yöneticiler tarafından standartlaştırılmış sunucu yapılandırmalarını cihazlara otomatik olarak uygulamak için kullanılırken, doğası gereği aynı ayarlara sahip birkaç cihaz için varsayılan şablonlar oluşturur.
Turla tehdit aktörleri, base64 kodlu bir Windows yürütülebilir dosyasını otomatik olarak yüklemek için DSC’yi kullanır ve Exchange’i bir kötü amaçlı yazılım sunucusuna dönüştürür. Sadece bu da değil, Microsoft ve CERT-UA da KAZUAR’ın arka kapı düşüşüne dikkat çekti.
Ayrıca, bu siber casusluk aracı, tehdit aktörlerinin JavaScript çalıştırma, olay günlüklerinden veri çıkarma ve çeşitli programlardan kimlik bilgilerini çalma gibi çeşitli yasa dışı faaliyetler gerçekleştirmesine olanak tanır, örneğin:-
- Tarayıcılar
- FTP istemcileri
- VPN yazılımı
- KeePass
- gök mavisi
- AWS
- Görünüm
Turla’nın kendine özgü taktikleri, teknikleri ve KAZUAR kullanımına dayanan bu faaliyet (UAC-0024), Rusya’nın FSB liderliğindeki grubuyla (UAC-0003, KRYPTON, Gizli Kar Fırtınası) güvenle bağlantılıdır. Bunun dışında, tehdit tespitine yardımcı olmak için tüm kötü amaçlı örnekler dağıtıldı.
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.