Tehdit aktörleri, internete maruz kalan Atlassian Confluence sunucularında bir şablon enjeksiyon kusuru olan bilinen bir güvenlik açığı olan CVE-2023-22527’den yararlandı.
Bu istismar, uzaktan kumanda yürütülmesini (RCE) kolaylaştırdı ve saldırganların ilk erişim kazanmasını ve hedeflenen ağlar içinde bir dayanak oluşturmasını sağladı.
İlk olarak 45.227.254.124’ten IP adresinden ağ trafiği ile tespit edilen ihlal, bir komut ve kontrol (C2) kanalı oluşturarak metasploit yükü kullandı.
.png
)
Aralık 2024 DFIR Labs CTF raporunda detaylandırılan ve başlangıçta Ekim 2024’te bir tehdit özeti olarak paylaşılan bu olay, işletme ortamlarında takılmamış sistemlerin kalıcı tehlikesinin altını çizmektedir.
Kritik istismar hedefleri açılmamış sistemler
Saldırganlar, birkaç gün boyunca titizlikle planlanan bir saldırı gerçekleştirdi ve operasyonlarını kolaylaştırmak için otomasyon komut dosyalarından yararlandı.
Erişim kazandıktan birkaç dakika sonra, kalıcı uzaktan erişim için AnyDesk’i yüklediler, “Noname” adlı yerel bir yönetici hesabı oluşturdular ve alternatif giriş noktalarını sağlamak için uzak masaüstü protokolünü (RDP) etkinleştirdiler.
Araç setleri, Mimikatz, ProcessHacker ve Impacket’in SecretsDump gibi kimlik bilgisi hasat araçlarını içeriyordu ve bu da LSASS bellek dökümü ve NTLM hash ekstraksiyonu yoluyla etki alanı yöneticisi kimlik bilgilerini tehlikeye atmalarını sağladı.
Sistem düzeyinde erişim elde etmek için adlandırılmış boru takviyesi (RPCSS varyantı) kullanılarak ayrıcalık artışı elde edilirken, Zerologon (CVE-2020-1472) ve PrintnightMare (CVE-2021-34527) gibi istismarlarda başarısız girişimler, kontrolü genişletme belirlemelerini vurguladı.
Çok aşamalı saldırı doruğa ulaşır
Üçüncü gün, ilk ihlalden yaklaşık 62 saat sonra, saldırganlar MIMIC, hedefleme ve dosya sunucularının RDP ve SMB hisseleri aracılığıyla bir çeşidi olan Elpaco-Takım Fidyeware’i konuşlandırdı.
Özellikle, .ElPaco-takım uzantısı ile eklenen dosyalarla şifreleme etkisine rağmen, herhangi bir minimal veri aktarımı (yaklaşık 70 MB), Tehdit Actor’ın sunucusuna herhangi bir minimal veri aktarımı (yaklaşık 70 MB) kaydedilmiştir.
İzinsiz giriş aynı zamanda kapsamlı keşif ve yanal hareket içeriyordu, ağ taraması için SoftperFect’in Netscan ve Impacket’ın alan denetleyicilerinde komutlar yürütmek için WMIExec gibi araçlar kullandı.
Savunma Korunma Taktikleri, DefenderControl kullanarak Windows Defender’ı devre dışı bırakmayı ve izlerini kapsayacak şekilde olay günlüklerini silmek içeriyordu.
Anydesk’in doğrudan bağlantı özelliği, 45.227.254.124 numaralı telefondan kendi kendine barındırılan bir sunucuya, standart röle sunucularını atlayarak algılamaya yardımcı oldu.
Saldırganların ilk C2 için metasploit’e güvenmesi, ardından sürekli operasyonlar için Anydesk’e geçiş, ağ izleme araçlarına maruz kalmayı en aza indirirken erişimi sürdürmek için stratejik bir pivotu göstermektedir.
DFIR Labs’taki uzmanlar tarafından analiz edilen bu dava, tek bir açılmamış güvenlik açığından gelen basamaklı riskleri, zamanında güncelleme ihtiyacını vurgulayarak, Suricata gibi araçlarla sağlam izlemeyi (SID 2050543 ile SID 2050543 ile işaretleyen) ve bu tür çok tehditleri engellemek için kesin bir hatırlatma görevi görür.
Uzlaşma Göstergeleri (IOC)
| Tip | Gösterge | Tanım |
|---|---|---|
| Ağ | 45.227.254.124 | Anydesk C2 Sunucusu ve Başlangıç İstismar IP |
| Ağ | 91.191.209.46 | Metasploit C2 Sunucu IP |
| Dosya | Elpaco-team.exe | Ransomware Binary (Mimik varyant) |
| Dosya SHA256 | A710ED9E008326B981FF0FADB1C75D89DECA2B52451D4677A8FD808B4AC0649B | Elpaco-takım fidye yazılımı karma |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!