2023’ün sonlarında büyük bir kuruluşa düzenlenen siber saldırıyı araştırmak üzere çağrılan araştırmacılar, etkinliğin izini, taktik ve altyapıya dayalı, ‘Kadife Karınca’ adlı Çin bağlantılı gelişmiş bir tehdit aktörü grubuna kadar takip etti.
Soruşturmada Velvet Ant’ın, olaydan en az üç yıl önce, tehdit aktörlerine kurumsal ortamdaki hassas sistemlere erişim sağlayan uzaktan erişim truva atı PlugX’i kullanarak şirketin ağına sızdığı ortaya çıktı.
Kadife Karınca Kampanyasında Kaçınma Taktikleri Kullanıldı
Sygnia’dan araştırmacılar, saldırının, kuruluşun savunmasız işletim sistemi sürümlerinde çalışan, internete bakan F5 BIG-IP cihazlarının ele geçirilmesiyle başladığını açıkladı. Bu cihazlar genellikle ağ mimarisi içinde güvenilir bir konuma sahiptir ve potansiyel saldırganların çoğu tespit türünden kaçarken ağ trafiği üzerinde önemli bir kontrole sahip olmalarına olanak tanır. Bu cihazlar kuruluş içinde güvenlik duvarını, WAF’yi (web uygulaması güvenlik duvarı), yük dengelemeyi ve yerel trafiği yönetmek için kullanıldı.
Saldırganlar, ele geçirilen F5 cihazlarına özel kötü amaçlı yazılım yüklemek için bilinen uzaktan kod yürütme kusurlarını kullandı. Saldırganlar, yürütme zincirini gizlemek için dosya oluşturma sürelerini değiştirdi ve PlugX kötü amaçlı yazılımını etkilenen sistemlere dağıtmak için üç farklı dosya (‘iviewers.exe’, ‘iviewers.dll’ ve ‘iviewers.dll.ui’) kullandı. PlugX kurulduktan sonra dahili ağı haritalamak için kimlik bilgilerini topladı ve keşif komutlarını yürüttü. Bilgisayar korsanları daha sonra ağ üzerinde yanal hareket için açık kaynaklı Impacket aracını kullandı.
İlk güvenlik ihlali sırasında, tehdit aktörü hem modern iş istasyonlarını hem de eski Windows Server 2003 sistemlerini tehlikeye attı. Modern uç noktalarda, bilgisayar korsanları ek araçları dağıtmadan önce rutin olarak kurulu antivirüs yazılımına müdahale ediyordu. Güvenlik kontrollerinin bu dikkatli hedeflenmesi Velvet Ant’ın operasyonel olgunluğunu gösteriyor. Ancak eski platformlara odaklanmak sonuçta bilgisayar korsanlarının tespit edilmekten kaçmasına yardımcı oldu.
Araştırmacılar, ele geçirilen F5 cihazlarına 4 ek kötü amaçlı yazılım programının yerleştirildiğini tespit etti:
- VELVETSTING – Bu program, kodlanmış komutları saatlik olarak kontrol etmek için Çin’de bulunan uzak bir sunucuya bağlanacak şekilde yapılandırılmıştır. Komutlar alındıktan sonra program bunları bir Unix kabuğu aracılığıyla yürütüyordu.
- VELVETTAP – Kötü amaçlı yazılımın F5 dahili ağ arayüzünü izlediği ve bu arayüzden veri yakaladığı görülüyor.
- SAMRID – Bu yazılımın, daha önce Çin devleti destekli gruplar tarafından kullanılmış, halka açık bir tünel açma programı olduğu belirlendi. Araştırmacının soruşturması sırasında hareketsiz durumdayken saldırganlara uzaktan erişim sağlamış olabilir.
- ESRDE – Bu arka kapı VELVETSTING’e benzer şekilde çalışır ve harici bir sunucudan gönderilen komutları çalıştırır. Analiz sırasında da etkin değildi.
VELVET programları, güvenliği ihlal edilmiş F5 cihazlarının yeniden başlatılması üzerine yeniden başlatılacak şekilde ayarlandı. Bu ek kötü amaçlı yazılım yüklerinin amacı muhtemelen saldırganlara, ilk kötü amaçlı yazılımın keşfedilip kaldırılmasından sonra bile birden fazla arka kapı sağlamaktı. Her enfeksiyon, çeşitli virüslerin uzaklaştırılmasına direnecek ve ek sızmayı kolaylaştıracak şekilde dikkatlice oluşturulmuştur.
Kötü Amaçlı Yazılımların Kaldırılmasının Ardından Kuruluşun Sistemlerine Yeniden Etki
Kapsamlı bir olay müdahale operasyonunun tehdit aktörünün erişimini görünüşte ortadan kaldırmasının ardından araştırmacılar, birkaç gün sonra temiz ana bilgisayarlarda PlugX’in yeniden bulaştığını yeniden tespit etti. Daha ileri analizler, PlugX’in yeni sürümünün harici bir komut ve kontrol sunucusundan yoksun olduğunu ortaya çıkardı. Bunun yerine kötü amaçlı yazılım, komuta ve kontrol için dahili bir dosya sunucusu kullanacak şekilde yapılandırıldı.
Bu uyarlama, kötü niyetli trafiği normal dahili iletişimlerle harmanlayarak Velvet Ant’in fark edilmeden çalışmasına yardımcı oldu. Saldırı en sonunda kontrol altına alınsa da, saldırının karmaşıklığı ve kalıcılığı, savunucuların gelişmiş kalıcı tehditlere (APT’ler) karşı karşılaştığı zorlukların altını çiziyor.
Araştırmacılar, kampanyanın farklı bir APT grubu tarafından gerçekleştirilen bir ‘yanlış işaretleme’ operasyonu olma olasılığını göz ardı edemeyeceklerini belirtti. Ancak PlugX kötü amaçlı yazılımının daha önce Çin bağlantılı diğer APT’lerle ilişkilendirildiği ortaya çıktı. Araştırmacılar, bloglarında çeşitli önerilerin yanı sıra uzlaşma göstergelerini (IOC’ler) paylaştılar.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.