Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Devlet
CrowdStrike, Ulaşım, İnşaat, Devlet Kurumlarını Hedef Alan Grup
Daha Fazla (AnvikshaDevamı) •
26 Haziran 2023
CrowdStrike’a göre Çinli bir devlet bilgisayar korsanı, kurban sistemlerine ilk erişim elde etmek için yeni ticaret aracı kullanıyor. Hedeflenen kuruluşlar arasında iletişim, imalat, hizmet, ulaşım, inşaat, denizcilik, devlet, bilişim ve eğitim sektörlerindeki kuruluşlar yer alır.
Ayrıca bakınız: Artık İçeriden İş Yok: Bankalarda İçeriden Gelen Tehditleri Durdurmak
Microsoft, ABD hükümeti ve Five Eyes istihbarat paylaşım ittifakı ile koordineli bir açıklamada ticaret gemisine Volt Typhoon adını verdi. CrowdStrike araştırmacılarının son güncellemesi, grubu Vanguard Panda adı altında takip ediyor.
CrowdStrike araştırmacıları, grubun ilk erişim için ManageEngine ADSelfServiceplus istismarını kullandığını, ardından kalıcı erişim için özel web kabukları ve yanal hareket için “karada yaşama” tekniklerini kullandığını gözlemledi.
Bu taktikler başarısız olursa, Vanguard Panda aktörlerinin bir güvenlik firması tarafından engellendiği bir örnekte olduğu gibi bir Apache Tomcat sunucusunda çalıştığı görüldü.
CrowdStrike, “Belirli bir VANGUARD PANDA olayı, ayrıntılı olarak incelenmek üzere göze çarpıyor” dedi. “Falcon Complete, ManageEngine ADSelfService Plus çalıştıran bir Apache Tomcat web sunucusu altında yürütülen şüpheli keşif komutları tarafından tetiklenen bir algılamaya yanıt verdi.”
Apache Tomcat erişim günlüklerinin analizi, “/html/promotion/selfsdp.jspx” web kabuğunu hedefleyen çok sayıda kötü amaçlı HTTP POST isteği örneğini ortaya çıkardı. Bu web kabuğu, ManageEngine ADSelfService Plus’tan meşru bir dosya gibi göründü ve orijinal kurumsal yardım masası yazılımıyla ilişkili başlığı ve bağlantıları görüntüleyerek aldatmaya çalıştı.
CrowdStrike’a göre Vanguard Panda grubu, hedeflenen ortam hakkında kapsamlı bilgiye sahipti ve bu, saldırıdan önce kapsamlı bir keşif ve sayım yapılmasını öneriyor. Saldırganlar, güvenliği ihlal edilmiş yönetici kimlik bilgilerini kullanarak erişim elde etmiş olsa da, araştırmacılar CVE-2021-40539 ile ilgili erişim günlüğü kanıtı bulamadı.
Eylül 2021’de Zoho, ManageEngine ADSelfService Plus’ta bir kimlik doğrulama atlama güvenlik açığını gidermek için CVE-2021-40539 için bir güvenlik yaması yayınladı. Zoho, bu güvenlik açığının gerçek dünyadaki saldırılarda istismar edildiği konusunda uyardı. Güvenlik açığı, yazılımın REST API URL’lerinde bulunuyordu ve uzaktan kod yürütülmesine yol açabiliyordu.
Bilgisayar korsanları izlerini gizlemeyi başarsalar da, saldırıda kullanılan çeşitli web kabuklarını ve arka kapıları açığa çıkaran oluşturulan Java kaynağını ve derlenmiş sınıf dosyalarını kaldırmayı başaramadılar.
Microsoft, Volt Typhoon’un 2021’in ortalarından beri aktif olduğunu söylüyor. Tehdit istihbarat firması Mandiant, Volt Typhoon’un eylemlerini “agresif ve potansiyel olarak tehlikeli” olarak nitelendirdi, ancak izinsiz girişlerin “saldırıların yaklaşmakta olduğunu göstermediği” konusunda uyardı (bkz: Çin Devlet Hacker’ı ‘Volt Typhoon’ Guam ve ABD’yi Hedef Aldı).