APT29 veya Midnight Blizzard olarak da takip edilen gelişmiş kalıcı tehdit (APT) grubu Earth Koshchei, siber gelişmişliğin çarpıcı bir örneği olarak, devasa bir sahtekar Uzak Masaüstü Protokolü (RDP) kampanyasıyla ilişkilendirildi.
Earth Koshchei, operasyonlarını maskelemek, gizliliklerini artırmak ve ilişkilendirme çabalarını karmaşıklaştırmak için ticari VPN hizmetleri, TOR ve konut proxy’leri gibi anonimleştirme katmanlarını kullanarak casusluk ve veri hırsızlığı için bu kampanyada yenilikçi taktikler ve kırmızı ekip araçlarından yararlanıyor.
Ekim 2024’te zirveye ulaşan bu son operasyon, diğerlerinin yanı sıra hükümetleri, askeri kuruluşları, düşünce kuruluşlarını, akademik araştırmacıları ve Ukraynalı kuruluşları hedef aldı.
Grup, hedef odaklı kimlik avı e-postalarından ve gelişmiş anonimleştirme tekniklerinden yararlanarak siber güvenlik topluluklarında ciddi endişelere yol açtı.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Saldırı Nasıl Çalışır?
Earth Koshchei’nin kampanyası çok katmanlı bir saldırı stratejisi kullandı. Bu operasyonun merkezinde hedef odaklı kimlik avı e-postalarına yerleştirilmiş kötü amaçlı bir RDP yapılandırma dosyası vardı.
Şüphelenmeyen alıcılar dosyayı açtığında, cihazları, saldırganlar tarafından kurulan 193 röleden biri aracılığıyla hileli RDP sunucularına bağlanmaya çalıştı.
Saldırı, Black Hills Bilgi Güvenliği tarafından 2022’de ayrıntılı olarak açıklanan “haydut RDP” adı verilen bir metodolojiye dayanıyordu. Bu teknikte bir RDP geçişi, hileli bir sunucu ve kötü amaçlı yapılandırmalar kullanıldı.
Saldırganlar, Python Uzak Masaüstü Protokolü ortadaki adam (MITM) çerçevesi (PyRDP) gibi araçlar aracılığıyla, kurbanların makineleri üzerinde kısmi kontrol elde etmek için RDP bağlantılarını ele geçirdi ve manipüle etti.
Bu, geleneksel kötü amaçlı yazılımları dağıtmadan veri sızdırmaya, dosyalara göz atmaya ve hatta kötü amaçlı uygulamaların yürütülmesine olanak sağladı.
Earth Koshchei’nin kampanyasının ölçeği dikkat çekiciydi. Ağustos ve Ekim 2024 arasında grup, çoğu hükümetler, BT firmaları ve araştırma kurumları gibi hedeflenen kuruluşların kimliklerini taklit eden 200’den fazla alan adını kaydetti.
Temel hazırlık faaliyetleri, operasyonları için merkezi komuta noktası olarak hizmet veren 34 sahte arka uç RDP sunucusunun kurulmasını içeriyordu.
Siber güvenlik firması Trend Micro’nun raporuna göre, 22 Ekim’deki hedef odaklı kimlik avı dalgası muhtemelen daha önceki, daha sessiz kampanyaların sonucuydu. Bu gizli çabalar arasında altyapının test edilmesi ve belirli varlıkların hedeflenmesi de vardı.
22 Ekim kampanyası, yalnızca bir günde yaklaşık 200 yüksek profilli kurbanı hedef alan, diğer APT gruplarının haftalar içinde tamamlayabileceği faaliyetlerle karşılaştırılabilecek bir faaliyet ölçeğiyle büyük bir artışa işaret etti.
Earth Koshchei’nin amacının öncelikle casusluk olduğu görülüyor. Rusya’nın Dış İstihbarat Servisi (SVR) ile bağlantılı olduğu iddia edilen grubun Batı ülkelerindeki diplomatik, askeri, enerji, telekom ve bilişim sektörlerini hedef alma geçmişi bulunuyor.
Dışişleri bakanlıkları, askeri örgütler ve akademik araştırmacılar da dahil olmak üzere mağdurlara yönelik son kampanyası da bu modelle uyumlu.
TOR, ticari VPN’ler ve yerleşik proxy’ler gibi anonimleştirme katmanlarının kullanımı tespit ve ilişkilendirmeyi zorlaştırdı.
Bu taktikler, saldırganların kimlik avı e-postaları dağıtmak için güvenliği ihlal edilmiş e-posta sunucularından yararlanarak faaliyetlerini gizlemelerine olanak tanıdı. Bu tür yönlendiriciler ve proxy’ler operasyona başka bir karmaşıklık boyutu ekledi.
Kırmızı Takım Planı Kötü Amaçlı Hale Geldi
Güvenlik uzmanları, Earth Koshchei’nin hileli RDP taktiğinin muhtemelen kurumsal savunmaları güçlendirmek için tasarlanan kırmızı takım metodolojilerinden ilham aldığını vurguladı.
Saldırganlar bu teknikleri etkili bir şekilde silah haline getirerek siber güvenlikteki yeniliklerin kötü amaçlar için nasıl yeniden kullanılabileceğini gösterdi.
Örneğin, analiz edilen bir RDP yapılandırma dosyası, kurbanları Amazon Web Services (AWS) örneği gibi görünen kötü amaçlı bir sunucuya yönlendirdi.
Dosya ayrıca hassas verileri gizlice çıkarmak için sürücü yeniden yönlendirme ve kaynak paylaşımı gibi özelliklerden de yararlandı. Ekim ayındaki saldırı dalgası sırasında, aralarında iki askeri kuruluş ve bir bulut sağlayıcının da bulunduğu tahminen üç önemli kuruluşun verileri sızdırıldı.
Atıf ve Etkiler
Kesin atıf karmaşık olmaya devam etse de Trend Micro ve diğer firmalar, grubun kendine özgü taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) öne sürerek kampanyayı Earth Koshchei’ye orta düzeyde bir güvenle bağladılar.
Hem Microsoft hem de Amazon daha önce benzer saldırıları APT29/Midnight Blizzard’a atfetmiş ve bu bulguları desteklemişti.
Kampanya rahatsız edici bir eğilimin sinyalini veriyor: kırmızı takım teknikleri gibi meşru araç ve metodolojilerin kötü amaçlarla giderek daha fazla kullanılması.
Bu evrim, güvenilmeyen giden RDP bağlantılarının engellenmesi ve şüpheli yapılandırma dosyalarının e-posta yoluyla aktarılmasının yasaklanması da dahil olmak üzere gelişmiş siber güvenlik önlemlerine olan ihtiyacın altını çiziyor.
Kuruluşların bu nitelikteki saldırılara karşı savunmalarını güçlendirmeleri isteniyor. Güvenilmeyen sunuculara giden RDP bağlantılarını engellemek, kötü amaçlı yapılandırma dosyalarını izlemek ve Trend Micro Vision One gibi tehdit istihbaratı platformlarından yararlanmak, riskleri azaltmaya yönelik kritik adımlardır.
Trend Micro, kampanyada kullanılan kötü amaçlı RDP yapılandırma dosyalarını Trojan.Win32.HUSTLECON.A olarak sınıflandırdı.
Şirketin küresel tehdit istihbaratı ağı, kuruluşların gelişen siber tehditlerin önünde kalmasına yardımcı olmak için eyleme dönüştürülebilir bilgiler sağlamaya devam ediyor.
SOC (Güvenlik Operasyon Merkezi) ve DFIR (Dijital Adli Tıp ve Olay Müdahalesi) ekipleri, ortamlarındaki olası kötü amaçlı etkinlikleri tanımlamak ve analiz etmek için sağlanan güvenlik ihlali göstergelerini (IOC’ler) kullanabilir.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide