Symantec’in Tehdit Avcısı Ekibindeki siber güvenlik araştırmacıları yakın zamanda Redfly tehdit grubu grubunun ShadowPad Truva atını 6 ay boyunca Asya ulusal şebekesine sızmak için kullandığını keşfetti.
Yapay zeka odaklı siber tehditler, teknoloji ilerledikçe büyüyerek tehdit aktörlerinin karmaşıklığını önemli ölçüde etkiliyor ve artırıyor.
Tehdit aktörlerinin kritik ulusal altyapıya (CNI) yönelik sürekli casusluk saldırıları, hükümetler ve CNI kuruluşları arasında küresel endişeleri artırıyor.
Bu güvenlik ihlalinde, tehdit aktörleri kimlik bilgilerini başarıyla çaldı ve bilgisayarların güvenliğini ihlal etti.
En son saldırı, Volt Typhoon’un ABD’ye sızmasının ardından aşağıdaki ülkelerin yüksek alarma geçtiği, devam eden küresel CNI casusluk dalgasının bir parçası: –
- Birleşik Devletler
- Birleşik Krallık
- Avustralya
- Kanada
- Yeni Zelanda
ShadowPad başlangıçta modüler, kısa ömürlü bir yeraltı RAT’ıydı, şimdi ise APT41 gibi casusluk gruplarına bağlı. Blackfly ve Grayfly’dan farklı olarak Redfly ile bağlantılı son elektrik şebekesi saldırıları.
Kullanılan aletler
Tehdit aktörlerinin bu saldırılarda kullandığı tüm araçlardan aşağıda bahsettik:-
DoControl ile ihtiyaçlarınıza uygun iş akışları oluşturarak SaaS uygulamalarınızı ve verilerinizi güvende tutabilirsiniz. Riskleri tanımlamanın ve yönetmenin kolay ve etkili bir yoludur. Kuruluşunuzun SaaS uygulamalarının riskini ve maruziyetini yalnızca birkaç basit adımda azaltabilirsiniz.
Ücretsiz Demoyu Deneyin
Teknik Analiz
İlk izinsiz giriş 28 Şubat 2023’te gerçekleşti ve ardından 17 Mayıs’ta ShadowPad’in infazı gerçekleşti ve saldırganların varlığı doğrulandı. Şüpheli bir 1.bat dosyası 16 Mayıs’ta çalıştırıldı ve %TEMP% dizininde PackerLoader’ın çalıştırılmasına yol açtı.
Daha sonra dump_diskfs.sys sürücüsüne, potansiyel olarak dosya sistemi dökümleri ve sızıntılar için tüm kullanıcılara erişim izni verilir. Kimlik bilgileri aşağıdaki Windows kayıt defterinden atıldı: –
- reg kaydet HKLM\SYSTEM system.save
- reg HKLM\SAM sam.sav’ı kaydet
- reg kaydet HKLM\SECURITY güvenlik.save
19 Mayıs’ta saldırganlar PackerLoader ve 1.bat’ı çalıştırarak geri döndü ve ardından sinsi bir “displayswitch.exe” dosyasının yardımıyla Redfly, kötü amaçlı yükünü başlattı.
Bunun yanı sıra daha sonra yazılabilir sürücüleri gözetlemek için PowerShell’i kullandılar. Bunun dışında, displaywitch.exe 26 Mayıs’ta %TEMP%’de tetiklendi ve kayıt defteri kimlik bilgilerini hızlı bir şekilde boşaltıp güvenlik günlüklerini sildi.
Saldırganlar daha sonra 29 Mayıs’ta ProcDump’ı ve 31 Mayıs’ta Oleview’i kötü amaçlı faaliyetler için kullandılar ve muhtemelen çalınan kimlik bilgilerini yanal hareket için kullandılar.
Geçtiğimiz yıl boyunca tehdit aktörleri CNI kuruluşlarını aktif olarak hedef aldı ve onlara saldırdı. Saldırı frekansları bile önemli ölçüde arttı ki bu artık endişe verici bir faktör.
Şebekelerde uzun vadeli varlıklarını sürdüren tehdit aktörleri, siyasi gerilim sırasında ulus devletlerde yıkıcı saldırı riski oluşturuyor.
IOC’ler
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.