Yakın tarihli bir siber güvenlik olayı, bilgisayar korsanları tarafından özellikle Güney Kore’de web uygulamalarını hedeflemek için kullanılan sofistike yöntemleri vurguladı.
Saldırganlar, güvenlik açıklarından yararlanmak ve hükümet ve ticari kuruluşlara yetkisiz erişim elde etmek için Cobalt Strike, SQLMAP, Dirsearch ve Web-Survivalscan gibi bir araç kombinasyonundan yararlandı.
Sömürü teknikleri ve araçları
Tehdit oyuncusu, operasyonlarını yönetmek için Japonya’da bir sunucuda kısaca maruz kalan bir açık dizin kullandı.
Bu dizin, paslı bir Windows yürütülebilir dosyası aracılığıyla teslim edilen Cobalt Strike Cat olarak bilinen Cobalt Strike’ın değiştirilmiş bir sürümünü içeriyordu.
Buna ek olarak, saldırganlar SQL enjeksiyon saldırıları için SQLMAP, Brute-Force Dizinlerine Dirsearch ve Web-Survivalscan’ı alt alan numaralandırması için istihdam ettiler.
Bu araçlar, savunmasız web uygulamalarını belirlemelerine ve SQL güvenlik açıklarından yararlanmalarına izin vererek genellikle hassas verilerin ortaya çıkmasına neden oldu.
Saldırganlar, muhtemelen Web-Survivalscan için girdi olarak kullanılan devlet kurumlarına ve özel işletmelere ait olanlar da dahil olmak üzere 1000’den fazla Kore alanının bir listesini derledi.
Rapora göre, bu, daha fazla analiz ve potansiyel sömürü için canlı alt alanları numaralandırmalarını sağladı.
Bir python senaryosu, urls.pykeşif verilerinin organizasyonunu otomatikleştirmek, alt alan keşfi sürecini kolaylaştırmak ve takip eden sömürü çabalarını desteklemek için kullanılmıştır.
Kötü amaçlı yazılım analizi ve ağ gözlemlenebilir
Kötü amaçlı yazılım analizi, saldırganların, popüler bir sisat sonrası aracının değiştirilmiş bir versiyonu olan Cobalt Strike Cat’i, paslı yükleyiciler aracılığıyla teslim edilen Marte Shellcode’un yanı sıra kullandığını ortaya koydu.
Bu yükleyiciler, diske bağımsız bir yükü bırakmak yerine kabuk kodunu çözen ve çalıştıran bir ara yürütme katmanı olarak işlev gördü.
Kötü amaçlı yazılımın ağ davranışı, komut ve kontrol sunucuları ile analizi bozma veya iletişimleri maskelemek için taktikler olabilecek olağandışı yönlendirmeler içeriyordu.
Sunucudan gelen günlükler, tehlikeye atılan ana bilgisayarlardan gelen işaret etkinliği ile aktif müdahaleler gösterdi.
Saldırganlar, sahne yükleri ve kurban sistemlerine erişimi korumak için senaryo web dağıtımını kullandılar.
İlk erişim için SQL enjeksiyonunun kullanılması, girdi doğrulamasının uygulanmasının ve gelecekte benzer saldırıları önlemek için web uygulamaları için güvenlik yamalarının uygulanmasının önemini vurgulamaktadır.
Kuruluşlar, sömürü girişimlerinin belirtilerini tespit etmek için olağandışı ağ trafiği ve günlük veritabanı sorgularını izlemelidir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.