Bilgisayar Korsanları Exchange Sunucularını Kötü Amaçlı Yazılım C&C’ye Dönüştürüyor

Secret Blizzard, KRYPTON ve UAC-0003 olarak da bilinen Turla, Rusya Federal Güvenlik Servisi (FSB) ile ilişkilendirilmiş bir Gelişmiş Kalıcı Tehdit (APT) grubudur.

Bu grup, karmaşık ve kalıcı siber tehdit faaliyetleriyle ün kazandı.

Batı çıkarlarını hedef almalarıyla tanınan tehdit aktörleri, yakın zamanda diğer saldırıların yanı sıra MEDUSA Operasyonu aracılığıyla Snake siber casusluk botnet’ini bozmaya dahil oldular.

Microsoft Tehdit İstihbaratı’ndaki siber güvenlik araştırmacıları ve Ukrayna CERT-UA hükümetinin bilgisayar acil durum müdahale ekibi, Turla’nın son saldırılarında yeni bir kötü amaçlı yazılım olan CAPIBAR (aka DeliveryCheck, GAMEDAY) ile savunma sanayisini ve Microsoft Exchange sunucularını hedef aldığı konusunda uyarıda bulundu.

Microsoft, Exchange Server Saldırılarına Karşı Uyardı

Aşağıda, Microsoft Tehdit İstihbaratının tweet attığı tüm tweet’lerden bahsettik: –

Microsoft, çeşitli ikinci aşama yükleri teslim etmek için kullanılan yeni bir .NET arka kapısı olan DeliveryCheck’ten yararlanan tehdit aktörü Secret Blizzard (KRYPTON, UAC-0003) tarafından Ukrayna ve Doğu Avrupa’daki savunma sektörüne yönelik hedefli saldırılar belirledi. https://t.co/mWoyzOoydF

— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 19 Temmuz 2023

DeliveryCheck, e-posta yoluyla kötü amaçlı makrolar içeren belgeler olarak dağıtılır. Bellekte indiren ve başlatan zamanlanmış bir görev aracılığıyla devam eder. Ayrıca, XSLT stil sayfalarına gömülü rastgele yüklerin başlatılmasını içerebilen görevleri almak için bir C2 sunucusuyla iletişim kurar.

— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 19 Temmuz 2023

Microsoft, ilk bulaşmanın ardından, tehdit aktörünün dosyaları toplamak ve sızdırmak için rclone gibi açık kaynaklı araçlar kullandığını veya bazı durumlarda Kazuar olarak bilinen tam özellikli bir Secret Blizzard implantı yerleştirdiğini gözlemlemiştir.

— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 19 Temmuz 2023

Tehdit aktörü, özellikle popüler Signal Desktop mesajlaşma uygulamasından mesajları içeren dosyalara sızmayı amaçlar; bu, aktörün özel Signal konuşmalarının yanı sıra hedeflenen sistemlerdeki belgeleri, görüntüleri ve arşiv dosyalarını okumasına olanak tanır.

— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 19 Temmuz 2023

Araştırmamızda ayrıca aktörün Microsoft Exchange sunucularını PowerShell Desired State Configuration (DSC) kullanarak DeliveryCheck’in sunucu tarafı bileşenlerini yüklemesini hedeflediğini gözlemledik.

— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 19 Temmuz 2023

DSC, katıştırılmış .NET yükünü belleğe yükleyerek meşru bir sunucuyu etkili bir şekilde kötü amaçlı bir C2 merkezine dönüştüren bir PowerShell betiği içeren bir Yönetilen Nesne Biçimi (MOF) dosyası (daha ayrıntılı olarak burada: https://t.co/AmAzXmbZfG) oluşturur.

— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 19 Temmuz 2023

Microsoft Defender Virüsten Koruma bu tehdidi şu kötü amaçlı yazılım olarak algılar: Trojan:Win32/DeliveryCheck, Trojan:MSIL/DeliveryCheck, Trojan:ASP/DeliveryCheck, Trojan:Script/DeliveryCheck, Trojan:Script/Kazuar ve Trojan:MSIL/Kazuar.

— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 19 Temmuz 2023

CERT-UA’ya siber tehditleri araştırmak için devam eden ortaklıkları için minnettarız. Microsoft, gelişmiş siber operasyonları ve kötü amaçlı yazılımları araştırmak ve bunlara karşı savunma yapmak için uluslararası siber güvenlik topluluğuyla yakın iş ortaklığı yapmaya devam ediyor.

— Microsoft Tehdit İstihbaratı (@MsftSecIntel) 19 Temmuz 2023

Exchange Sunucularını Hedef Alan Bilgisayar Korsanları

Excel XLSM eklerinde bulunan kötü amaçlı makrolara sahip kimlik avı e-postaları saldırıları başlatır ve makroları etkinleştirmek, zamanlanmış bir görev aracılığıyla bir Firefox tarayıcı güncelleyiciyi taklit eden bir PowerShell komutu çalıştırır.

Kötü amaçlı yüklerin konuşlandırılması ve alınan komutların yürütülmesi için, zamanlanan görev CAPIBAR kötü amaçlı yazılımını indirir. Bu görev aynı zamanda kötü amaçlı yazılımı bellekte başlattıktan sonra tehdit aktörünün kontrolündeki C&C sunucusuna bağlar.

Arka kapı, tehdit aktörlerinin cihazlara bulaştıktan sonra Rclone yoluyla veri sızdırmasına olanak tanır. Özellikle CAPIBAR, Microsoft Exchange sunucusunu bir komuta ve kontrol sunucusuna dönüştürerek onu diğer tehditlerden ayırır.

Bir PowerShell modülü yardımıyla “Desired State Configuration” Microsoft Exchange sunucu tarafı bileşeni kurulur.

Bu modül, yöneticiler tarafından standartlaştırılmış sunucu yapılandırmalarını cihazlara otomatik olarak uygulamak için kullanılırken, doğası gereği aynı ayarlara sahip birkaç cihaz için varsayılan şablonlar oluşturur.

Turla tehdit aktörleri, base64 kodlu bir Windows yürütülebilir dosyasını otomatik olarak yüklemek için DSC’yi kullanır ve Exchange’i bir kötü amaçlı yazılım sunucusuna dönüştürür. Sadece bu da değil, Microsoft ve CERT-UA da KAZUAR’ın arka kapı düşüşüne dikkat çekti.

Ayrıca, bu siber casusluk aracı, tehdit aktörlerinin JavaScript çalıştırma, olay günlüklerinden veri çıkarma ve çeşitli programlardan kimlik bilgilerini çalma gibi çeşitli yasa dışı faaliyetler gerçekleştirmesine olanak tanır, örneğin:-

• Tarayıcılar
• FTP istemcileri
• VPN yazılımı
• KeePass
• gök mavisi
• AWS
• Görünüm

Turla’nın kendine özgü taktikleri, teknikleri ve KAZUAR kullanımına dayanan bu faaliyet (UAC-0024), Rusya’nın FSB liderliğindeki grubuyla (UAC-0003, KRYPTON, Gizli Kar Fırtınası) güvenle bağlantılıdır. Bunun dışında, tehdit tespitine yardımcı olmak için tüm kötü amaçlı örnekler dağıtıldı.

En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.