Araştırmacılar, Çin’in Velvet Ant siber casusluk grubunun Doğu Asya’daki büyük bir şirketten kritik verileri çalmak amacıyla uzun yıllara dayanan sessiz bir kampanyasını ortaya çıkardı.
Kampanyayı dikkat çekici kılan şey, tehdit aktörünün, defalarca yok etme girişimlerine rağmen kurbanın ağında kalıcılığı ne ölçüde koruyabildiğidir.
Tehdit aktörünü nihayet kuruluşun ortamından çıkaran Sygnia araştırmacıları, Velvet Ant’in ısrarının en azından bir kısmını, hedef ağdaki çok sayıda eski ve izlenmeyen sistemi bulma ve bulaştırmadaki başarısına bağladı.
“Tehdit aktörü başardı olağanüstü dayanıklılık Sygnia, “kurban şirketin çevresinde birden fazla dayanak noktası kurarak ve sürdürerek” dedi. bugün açıklanan rapor. “Bir dayanak noktası keşfedilip düzeltildikten sonra bile, tehdit aktörü hızla diğerine geçerek tespit edilmekten kaçma konusunda çeviklik ve uyum yeteneği gösterdi.”
Sygnia, 2023’ün sonlarında bir müşterinin lokasyonunda izinsiz girişi fark etti. Güvenlik sağlayıcısının araştırması, tehdit aktörünün muhtemelen yaklaşık üç yıl önce mağdur ortamına erişim sağladığını ve çok sayıda ısrar ve savunmadan kaçınma mekanizması kullanarak tespit edilmeden kaldığını gösterdi.
Sygnia araştırmacıları, tüm saldırı kaynaklarının, vektörlerinin ve araçlarının ne olduğunu düşündüklerini belirledikten sonra, Velvet Ant’ı ve ilgili eserleri kurbanın ağ ve sistemlerinden yok etmek için önlemler başlattı. Ancak Velvet Ant, dışlanmak şöyle dursun, yalnızca birkaç gün sonra kurban ağında hızla yeniden ortaya çıktı; bu kez, grubun daha önce hedef ortamdaki eski sistemlere B Planı olarak yerleştirdiği kötü amaçlı yazılım aracılığıyla.
Sygnia’nın araştırması, tehdit aktörünün bazı eski Windows Server 2003 sistemlerine son derece modüler ve bir zamanlar oldukça popüler olan PlugX uzaktan erişim Truva Atlarını yüklediğini gösterdi.
Velvet Ant oyuncuları, virüs bulaşan bu sistemlerden, önce uç nokta algılama ve iyileştirme (EDR) korumalarını kurcalayarak ve ardından bunlara da PlugX yükleyerek yatay olarak daha yeni Windows sistemlerine geçti. Velvet Ant, hedeflenen sistemlere erişim sağladıktan sonra, tehdit aktörü, daha fazla kötü amaçlı yazılım aracını yanal olarak aktarmak ve ele geçirilen ana bilgisayarlarda rastgele komutlar yürütmek için yaygın olarak kullanılan açık kaynak sızma testinden ve “Impacket” adı verilen istismar geliştirme aracından yararlandı. Saldırganlar, uzaktan komut yürütmek için Impacket’in Windows Yönetim Araçları (WMI) aracı olan wmiexec.py’yi kullandı.
Köstebek Vurma oyunu oynuyorum
İkinci tur tehdit ortadan kaldırma sürecinin bir parçası olarak Sygnia’nın ekibi, kurban organizasyonla birlikte çalışarak düzinelerce güvenliği ihlal edilmiş sistemin yeniden imajını oluşturdu ve eski sistemlerin çoğunu (hepsini değil) hizmet dışı bıraktı. Sygnia’nın araştırmacıları toplamda yüzlerce uzlaşma göstergesi (IoC) belirledi.
Ancak sadece birkaç gün sonra, ilk seferinde olduğu gibi bir kez daha Sygnia, kuruluşun ağındaki PlugX ile enfekte olmuş yeni ana bilgisayarlar şeklinde Velvet Ant etkinliğine dair yeni işaretler gözlemledi. Ancak bu sefer araştırmacılar, PlugX bulaşmış ana bilgisayarların harici bir komut ve iletişim (C2) sunucusuyla iletişim kurduğuna dair hiçbir işaret bulamadılar ve bu da onları, tehdit aktörünün sistemlerle nasıl iletişim kurduğunu merak etmeye bıraktı. Daha sonra yapılan bir araştırma, Velvet Ant’ın daha önce eski bir dosya sunucusunu, ağdaki güvenliği ihlal edilmiş ana bilgisayarlar için dahili bir C2 sunucusu olarak çalışacak şekilde yapılandırdığını gösterdi.
Sygnia raporuna göre “Bu, tehdit aktörünün ağ içinde PlugX’in iki sürümünü konuşlandırdığı anlamına geliyordu. Harici bir C2 sunucusuyla yapılandırılan ilk sürüm, doğrudan internet erişimi olan uç noktalara kuruldu ve hassas bilgilerin sızmasını kolaylaştırdı.” “İkinci sürümde C2 yapılandırması yoktu ve yalnızca eski sunuculara dağıtıldı.”
Tehdit aktörleri, dahili C2 sunucusuna erişmek için, üretim ağında çalışır durumda olmaması gereken, izlenmeyen iki eski F5 Büyük IP yük dengeleme sistemine daha önce yükledikleri arka kapıları ve diğer kötü amaçlı ikili dosyaları kullanıyordu. Dahili bir ekip, hiçbir zaman tamamlanamayan bir felaket kurtarma projesinin parçası olarak F5 cihazlarını konuşlandırmıştı ve bunun sonucunda eski ve savunmasız işletim sistemi sürümlerini çalıştırıyorlardı.
Sygnia’dan bir araştırmacı sözcüsü, “Operasyonları hedef odaklıydı” diyor. “Bu nedenle kurbanın tüm ağına yayılmadılar, yalnızca gerekli olan belirli sunuculara ve iş istasyonlarına eriştiler. [for] uygulama ve ağ düzeyinde teknik keşif”.
Siber Casusluk için Çoklu Kaleler
Tehdit aktörü, bu hedefe ulaşma stratejisinin bir parçası olarak, hedef kuruluşun ağındaki farklı konumlarda birkaç “kale” oluşturdu. Bazıları hareketsiz durumdaydı ve yalnızca başka bir ağ konumundaki etkinliğin tespit edilmesi durumunda yedek olarak kullanıldı. Ayrıca Sygnia araştırmacısı, tehdidin kurulu EDR ortamını devre dışı bırakarak ve yerel olarak kaydedilen günlükleri uzaktan silerek aktif olarak kurcaladığını söylüyor.
Güvenlik satıcısının kuruluşların atmasını önerdiği çeşitli adımlar arasında APT ve ulus devlet aktörlerine maruz kalmayı azaltmak eski sistemleri devreden çıkarıyor ve değiştiriyor. Devlet destekli aktörler, gizlemek ve varlığını sürdürmek için sıklıkla nadiren izlenen eski ağ cihazlarını ve sistemlerini kullanıyor.
Araştırmacı, “Bunun nedeni, EDR ürünlerine veya kayıt uygulamalarına yönelik denetim ve kısmi destek eksikliğidir” diyor. “Tehdit aktörleri çok yaratıcı olabilir. Gözlemlenen her anormal etkinliğin makul bir şekilde açıklanabilmesini ve doğrulanabilmesini sağlamak önemlidir.”