Kimlik & Erişim Yönetimi, Güvenlik Operasyonları
Mali Motivasyona Sahip Bilgisayar Korsanları Özel Kötü Amaçlı Yazılım Dağıtıyor
Sayın Mihir (MihirBagwe) •
7 Eylül 2023
Güvenlik araştırmacıları, finansal motivasyona sahip bilgisayar korsanlarının, tatil köyleri ve oteller tarafından kullanılan popüler mülk yönetimi yazılımındaki olası bir sıfır gün kusurundan yararlanmak için özel kötü amaçlı yazılım geliştirdiğini söyledi.
Ayrıca bakınız: Tenable One – Veri Sayfası
Perşembe sabahı yayınlanan araştırmada Bitdefender, analiz ettiği ABD’deki küçük bir tatil beldesindeki bilgisayar korsanlığı olayının arkasındaki tehdit aktörünü belirlemediğini söyledi. Ancak saldırganın asıl amacının mali kazanç ve yasa dışı kişisel bilgi edinmek olduğunun doğrulanabileceği belirtildi.
Sektörün dijital sistemlerindeki büyük miktardaki kişisel veriler ve ödeme verileri göz önüne alındığında, bilgisayar korsanları konaklama sektörünü düzenli olarak hedef alıyor. Verizon’un en son veri ihlali raporu, bilgisayar korsanlarının konaklama ve yemek hizmeti endüstrisini kapsayan 10 siber olaydan 4’ünde ödeme kartı verilerini hedef aldığını tahmin ediyor.
Bitdefender, aynı rezervasyon motorunu kullanan diğer birkaç kurban arasında benzer web kabuğu enfeksiyonları göz önüne alındığında, incelediği saldırının muhtemelen daha büyük, koordineli bir çabanın parçası olduğunu söyledi. Söz konusu yazılım, IRM Yeni Nesil çevrimiçi rezervasyon motorunun geliştiricisi olan Colorado merkezli Resort Data Processing tarafından yapılmıştır. Siber güvenlik firması, resmi bir böcek ilçe programı da dahil olmak üzere şirketle defalarca iletişim kurmaya çalıştığını ancak yanıt alamadığını söyledi. Bilgi Güvenliği Medya Grubu da şirkete hemen ulaşamadı. 2021’de bilgisayar korsanları, ödeme kartını ve isimler, adresler ve telefon numaraları dahil kişisel bilgileri ele geçirmek için rezervasyon motorunu ihlal etti.
Saldırılar, özellikle de en yeni bilgisayar korsanları dalgasının özel kötü amaçlı yazılımlarını ve görünüşe göre Yeni Nesil IRM hakkındaki derin bilgilerini kullanması durumunda, hemen hemen her sektörün altında yatan tedarik zinciri sorununu vurguluyor. Bilgi teknolojisi için az sayıda kaynağa sahip olan şirketler, üçüncü taraf sağlayıcılara bağımlıdır ve aynı zamanda bilgisayar korsanlarını da davet etmediklerini umarlar. Bitdefender, daha küçük işletmeler için “tedarik zincirlerinin güvenlik olgunluğuna odaklanmak çok önemli hale geliyor. Görünüşte daha uygun fiyatlı çözümleri tercih etmenin bazen güvenlik ihlalleri veya güvenlik açıkları nedeniyle öngörülemeyen, önemli harcamalara yol açabileceğini kabul etmek önemlidir” diye uyardı.
Şirket, saldırganların “geleneksel saldırı yöntemlerinin ötesine geçtiğini” belirtti ve “meşru ağ trafiğiyle sorunsuz bir şekilde bütünleşecek ve hassas verilerin gizlice sızmasını kolaylaştıracak şekilde tasarlanmış özel kötü amaçlı yazılımların” varlığına dikkat çekti.
Bilgisayar korsanları bu son saldırıyı muhtemelen 2022 yazında belirsiz bir ilk saldırı vektörünü kullanarak başlattı. Bitdefender, “Bunun rezervasyon motorunda açıklanmayan bir güvenlik açığıyla bağlantılı olduğuna güçlü bir inancımız var” dedi.
Saldırganların yararlandığı kusurlar arasında, rezervasyon yazılımında sabit kodlanmış kimlik bilgilerinin bulunması ve SQL enjeksiyonuna izin veren girdilerin uygunsuz şekilde temizlenmesi yer alıyordu.
İlk uzlaşma, bir web kabuk kodu içeren bir css dosyasının yüklenmesini içeriyordu. IRM-NG dosya yükleme API’si css dosyalarına izin verir. Saldırganlar, dosyanın uzantısını değiştirmek için “açıklanmayan bir güvenlik açığından” yararlandı .aspx, sunucu tarafı komut dosyası dilinin bir uzantısıdır – böylece web kabuğunu etkinleştirir. Bilgisayar korsanları, yazılımın Pervasive PASQL ilişkisel veritabanı sisteminde sorguları çalıştırmak için geliştirilen özel araçlarını hızla devreye aldı. Bu sisteme erişim şifre ile korunmamaktadır.
Bitdefender, “Bu özel aracın, ilk ihlalden sadece 18 dakika sonra devreye girmesi önemli. Bu, tehdit aktörünün sistem hakkında önceden bilgi sahibi olduğunu güçlü bir şekilde gösteriyor.” diye yazdı.
Bilgisayar korsanları ayrıca ayrıcalıkları artırmak için PrintSpoofer ve uç nokta tespiti ve müdahalesi yoluyla kötü amaçlı yazılım tespitini önlemek için KingHamlet gibi kendi üçüncü taraf araçlarını da kullandı.
Kampanyanın kalbi, kötü amaçlı bileşenleri dağıtmak için bir toplu iş dosyası yürütmekten oluşuyordu. web.config Bilgisayar korsanlarının XModule adlı bir kötü amaçlı yazılım eklemesine izin veren dosya. Kötü amaçlı yazılım, rezervasyon motorunun akışına entegre olarak trafiği engelledi. Bilgisayar korsanları kalıcılık sağlamak için MicroBackdoor’u da kullandı. Bilgisayar korsanları veri çıkarmak veya komut göndermek istediklerinde, ele geçirilen web sunucusuna bir istek gönderiyorlar. XModule isteği yakalayacak ve işleyecektir. Bitdefender, “Bu neredeyse tespit edilemeyen bir iletişim yöntemidir” dedi.