Asya nakliye ve tıbbi laboratuvar endüstrileri arasında tahribata neden olan yeni bir güvenlik tehdidi ortaya çıktı.
Hydrochasma adlı daha önce hiç görülmemiş bir tehdit grubudur ve aktif olarak COVID-19 aşısının araştırma ve tedavisiyle uğraşan nakliye ve tıbbi kuruluşları hedef alır.
Broadcom’a bağlı bir şirket olan Symantec, geçen yılın Ekim ayından bu yana siber suçluların faaliyetlerini izliyor. Nihai amaçları, değerli bilgiler elde etmek gibi görünüyor.
Kullanma usulü, çalışma şekli Saldırı
Hydrochasma’nın modus operandi, saldırıları sırasında açık kaynaklı araçlar ve LotL teknikleri kullanmaları bakımından benzersizdir. Bu, kimliklerini ifşa edebilecek herhangi bir iz bırakmadan kötü niyetli faaliyetlerini gerçekleştirmelerini sağlar.
Bu operasyon yöntemi, saldırıları takip etmeye ve belirli tehdit aktörlerine atfetmeye çalışanlar için bir zorluk teşkil ediyor.
Bu tehdit aktörünün menşei ve bağlantısı belirlenmemiştir ve menşei ile ilgili henüz herhangi bir kanıt toplanmamıştır.
Önceden var olan araçların kullanımı, Hydrochasma için ikili bir amaca hizmet ediyor gibi görünüyor: –
- İlişkilendirme çabalarından kaçınmak için
- Saldırılarının gizliliğini artırmak için
Bu araçlardan yararlanarak etkinliklerini maskeleyebilir ve meşru ağ trafiğine karışabilirler, bu da güvenlik uzmanlarının kötü amaçlı etkinliklerini tespit etmesini ve bunlara yanıt vermesini zorlaştırır.
Saldırı Zinciri
Büyük ihtimalle Hydrochasma, bulaşmasını yaymak için ana bilgisayarına bir kimlik avı e-postası bulaştırdı. Hydrochasma’nın hedeflenen bir sistemdeki varlığının ilk işaretleri, genellikle kurban organizasyonun ana dilinde yazılmış bir e-posta ekiymiş gibi görünecek şekilde hazırlanmış bir dosya adına sahip bir yem belgesinin ortaya çıkmasıyla gösterilir.
Bu, hedefi belgenin yasal ve yaptıkları işle ilgili olduğuna inandırmak için kandırma girişimidir. Aşağıda bu ek adlarından bahsetmiştik: –
- Ürün Özellikleri-Nakliye-Firma Yeterlilik Bilgileri wps-pdf Export.pdf[.]exe
- Üniversite-Geliştirme Mühendisi[.]exe
Saldırgan bir makineye erişim kazandığında, bu erişimi, bir güvenlik duvarının arkasında bulunan sunucuları genel web’e maruz bırakma potansiyeline sahip bir Hızlı Ters Proxy (FRP) dağıtmak için kullanır.
Kullanılan aletler
Aşağıda, davetsiz misafir tarafından etkilenen sisteme bırakılan tüm araçlardan bahsetmiştik: –
- Gogo tarama aracı
- İşlem Damperi (lsass.exe)
- Kobalt Saldırı İşareti
- AlliN tarama aracı
- fscan
- Dogz proxy aracı
- SoftEtherVPN
- Procdump
- TarayıcıGhost
- Gost vekili
- ntlm rölesi
- Görev Zamanlayıcısı
- şerit
- HackBrowserData
Kamuya açık çok sayıda araç kullanıldığında, etkinliği belirli bir tehdit grubuyla ilişkilendirmek son derece zordur.
Symantec’ten araştırmacılara göre, hedeflenen bilgisayarların herhangi birinden Hydrochasma tarafından herhangi bir verinin alındığına dair hiçbir kanıt yoktu. Öte yandan Hydrochasma, sisteme uzaktan erişime izin veren ve sistemden verilerin çıkarılmasına neden olabilecek bazı araçlar kullanır.
Bu saldırı, hedeflenen sektörlerin gösterdiği gibi, istihbarat toplama görevi tarafından motive edilmiş gibi görünüyor.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin