Uluslararası siber güvenlik kuruluşları ve kolluk kuvvetlerinin ortak bildirisinde, Çin devlet destekli APT 40 bilgisayar korsanlığı grubunun siber casusluk saldırıları başlatmak için SOHO yönlendiricilerini ele geçirme taktikleri konusunda uyarıda bulunuldu.
Kryptonite Panda, GINGHAM TYPHOON, Leviathan ve Bronze Mohawk olarak da bilinen APT 40, en az 2011’den beri aktif olup ABD ve Avustralya’daki hükümet kuruluşlarını ve önemli özel kuruluşları hedef alıyor.
APT40, daha önce ProxyLogon güvenlik açıklarını ve WinRAR gibi yaygın olarak kullanılan yazılımlardaki kusurlardan yararlanmayı amaçlayan kampanyaları kullanarak 250.000’den fazla Microsoft Exchange sunucusunu hedef alan bir saldırı dalgasıyla ilişkilendirilmişti.
APT40 aktivite özeti
Avustralya, ABD, İngiltere, Kanada, Yeni Zelanda, Almanya, Kore ve Japonya’dan siber güvenlik yetkilileri ve devlet kurumlarının belirttiğine göre APT40, kimlik avı e-postaları ve sosyal mühendislik gibi insan etkileşimi yerine, kamuya açık altyapı ve uç ağ cihazlarındaki güvenlik açıklarından yararlanıyor.
Tehdit aktörlerinin, kamuoyuna duyurulan yeni güvenlik açıklarını hızla istismar ettikleri biliniyor; uyarıda örnek olarak Log4J, Atlassian Confluence ve Microsoft Exchange’deki kusurlar gösteriliyor.
Avustralya’nın ACSC tarafından kaleme alınan ortak bildiride, “Özellikle APT40, yeni güvenlik açıklarının kavram kanıtlarını (POC) hızla dönüştürüp uyarlayabilme ve bunları ilgili güvenlik açığının altyapısına sahip hedef ağlara karşı hemen kullanabilme yeteneğine sahiptir” ifadeleri yer alıyor.
“APT40, hedeflerini tehlikeye atacak fırsatlar arayarak, yazar kurumların ülkelerindeki ağlar da dahil olmak üzere, ilgi duyulan ağlara karşı düzenli olarak keşif faaliyetleri yürütüyor.”
Çinli bilgisayar korsanları bir sunucuya veya ağ cihazına eriştikten sonra, Güvenli Yuva Hunileme kullanarak kalıcılık için web kabukları dağıtıyor ve ardından Kerberoasting ve RDP aracılığıyla yakalanan geçerli kimlik bilgilerini ağ üzerinden yatay hareket için kullanıyor.
Özellikle ilgi çekici olanı, tehdit aktörlerinin genellikle N günlük güvenlik açıklarını kullanarak kullanım ömrü sona ermiş küçük ofis/ev ofisi (SOHO) yönlendiricilerini ihlal etmesi ve bunları operasyonel altyapı olarak ele geçirmesidir. Ele geçirilen bu cihazlar, ele geçirilen yönlendiriciden kaynaklanan meşru trafikle harmanlanırken APT40 tarafından saldırılar başlatmak için kullanılan ağ proxy’leri olarak hareket eder.
Diğer Çinli APT gruplarının da, ele geçirilmiş EoL yönlendiricileri ve IoT cihazlarından oluşan operasyonel röle kutusu (ORB) ağlarını kullandığı bilinmektedir. Bu proxy ağları, kötü amaçlı trafiği proxy’lemek için birden fazla devlet destekli aktöre (APT) erişim sağlayan bağımsız siber suçlular tarafından yönetilir.
Siber casusluk saldırılarının son aşamasında APT40, SMB paylaşımlarına erişir ve olay günlüklerini silerek ve ihlal edilen ağda gizli bir varlık sürdürmek için yazılım dağıtarak verileri bir komuta ve kontrol (C2) sunucusuna sızdırır.
Kaynak: CISA
Durum çalışmaları
Duyuruda, APT40’ın taktik ve prosedürlerini vurgulamak için iyi örnek teşkil eden 2022 yılına ait iki vaka çalışması yer alıyor.
İlk vaka, Temmuz-Eylül 2022’yi kapsıyordu ve APT40, Avustralyalı bir kuruluşun ağında kendine yer edinmek için özel bir web uygulamasını kullandı.
Web kabuklarını kullanarak ağ keşfi yaptılar, Active Directory’ye eriştiler ve ayrıcalıklı kimlik bilgileri de dahil olmak üzere hassas verileri sızdırdılar.
Kaynak: CISA
İkinci vaka çalışması, APT40’ın uzaktan erişim oturum açma portalındaki RCE açıklarından yararlanarak bir kuruluşu tehlikeye attığı Nisan ve Mayıs 2022 arasında meydana gelen bir olayı kapsamaktadır.
Web kabukları konuşlandırdılar, yüzlerce kullanıcı adı-şifre çifti, MFA kodları ve JSON Web Token’ları (JWT’ler) ele geçirdiler ve sonunda dahili bir SQL sunucusunu kazımak için ayrıcalıklarını artırdılar.
Saldırıları tespit etme ve azaltma
Tavsiyede, tehdit aktörlerinin araçları ve kötü amaçlı yazılımları dağıtmak için kullandığı bilinen dosya yolları da dahil olmak üzere APT40 ve benzeri devlet destekli siber tehditleri azaltmak ve bunlara karşı savunmak için bir dizi öneri sunuluyor.
Savunma önerilerinde, zamanında yama uygulamasının, kapsamlı günlüklemenin ve ağ segmentasyonunun kullanılmasının altı çiziliyor.
Ayrıca kullanılmayan portların ve servislerin devre dışı bırakılması, web uygulama güvenlik duvarlarının (WAF) kullanılması, en az ayrıcalık ilkesinin uygulanması, uzaktan erişim servisleri için çok faktörlü kimlik doğrulamanın (MFA) kullanılması ve kullanım ömrü dolan (EoL) ekipmanların değiştirilmesi önerilmektedir.
EoL uç ağ donanımlarının değiştirilmesi bir önceliktir, çünkü bu tür cihazlar kamuya açık olarak sergilenmek üzere tasarlanmıştır ve artık yama almazlarsa her türlü tehdit aktörü için değerli bir hedef haline gelirler.