Bilgisayar korsanları genellikle çeşitli nedenlerle F5 Yük Dengeleyicilere odaklanır; çünkü bunlar, birçok kurumsal ağın yükleri dengeleyen ve trafiği yöneten hayati parçalarıdır.
Bu yük dengeleyiciler riske atılırsa gizli bilgileri açığa çıkarabilir, işlevleri devre dışı bırakabilir veya ağların daha fazla hacklenmesi için bir araç olabilirler.
Sygnia’daki siber güvenlik araştırmacıları yakın zamanda Çinli tehdit aktörlerinin son iki yıldır aktif olarak F5 yük dengeleyicilerini hacklediğini keşfetti.
Tehdit Aktörleri F5 Yük Dengeleyicilerini Hackliyor
Sygnia’nın 2023’ün sonlarında ortaya çıkardığı gibi, Kadife Karınca tehdit grubu iki yılı aşkın süredir belirli bir organizasyonun sistemine giriyordu.
O kadar akıllılardı ki; hatta karmaşık yapıya dair her şeyi biliyorlardı.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Ancak Sygnia bunu hafifletmeye çalıştı. Kaygan tehdit aktörü, güncelliğini yitirmiş sunuculardaki ve yama yapılmamış ağ cihazlarındaki gizli kalıcılık mekanizmalarından yararlanarak ve klasik bir kedi-fare oyunu oynayarak birçok kez geri döndü.
Bu noktada Velvet Ant, yeniden erişim sağlamak için DLL arama emrini ele geçirme gibi yürütme akışı ele geçirme yöntemlerini kullandı.
İlk düzeltmenin ardından saldırganlar, dikkatlerini uç nokta koruması olmayan eski Windows Server 2003 sistemlerine çevirdiler ve daha önce dağıtılan PlugX kötü amaçlı yazılımını kullanarak operasyonlarına devam ettiler.
Çinli gruplar tarafından kullanılan modüler bir uzaktan erişim truva atı olan PlugX, meşru süreçlerin DLL tarafından yüklenmesi yoluyla devralınmasına olanak tanıyor.
Sygnia, toplanmış kimlik bilgilerini ve izlenmeyen eski sunucularda gizlice yürütülen komutları gösteren bellek dökümleri elde ederek, sıkılaştırma çabalarının ardından düşmanlara dayanmanın zor taktiklerini ortaya çıkardı.
Daha yeni Windows sistemlerini hedef alan bu tehditte saldırgan, çok yüksek düzeyde operasyonel güvenlik farkındalığıyla PlugX kötü amaçlı yazılımını dağıtmadan önce Uç Nokta Tespit ve Yanıt (EDR) ürününü tehlikeye attı.
Yanal hareket Impacket kullanılarak gerçekleştirildi, uzaktan komut yürütme ise WMI aracılığıyla yapıldı. İlk düzeltmenin ardından PlugX yeniden ortaya çıktı ve dahili bir dosya sunucusunu gizli bir Komuta ve Kontrol (C2) kanalı olarak kullanacak şekilde yeniden yapılandırıldı.
Sygnia, bunun izini, C2 sunucusu ile PlugX bulaşmış dosya sunucusu arasında dahili bir proxy gibi davranan trafiği tünelleyen, güncel olmayan bir işletim sistemine sahip, güvenliği ihlal edilmiş eski bir F5 yük dengeleyiciye kadar takip etti.
Böylesine belirsiz bir dayanak noktası elde eden inatçı tehdit aktörleri, keşif yapmak için bu noktadan geri döndü ve ardından PlugX’i SMB ve WMI kullanarak eski ağlara yaydı.
Tehdit aktörleri dört ikili dosya kullandı ve aşağıda bunlardan bahsettik: –
- KADİFE
- KADİFE TAP
- SAMRİD
- ESRDE
Tekrarlanan kaldırma girişimlerine rağmen, tehdit aktörü yaklaşık üç yıl boyunca ele geçirilen ağda kök salmaya devam etti ve Çin’deki izinsiz giriş setlerinin kullandığı paylaşılan araçları, altyapıyı ve kaynakları sergiledi.
Ancak sınırlı görünürlük, kesin atıf yapılmasını engelledi ve başka bir gelişmiş kalıcı tehdit grubu tarafından yanlış işaretleme operasyonu olasılığını ortadan kaldırdı.
Savunma stratejileri
Aşağıda güvenlik analistleri tarafından sağlanan tüm savunma stratejilerinden bahsettik: –
- Giden internet trafiğini sınırlayın
- Ağ boyunca yanal hareketi sınırlayın
- Eski sunucuların güvenliğini güçlendirmeyi geliştirin
- Kimlik bilgisi toplama işlemini azaltın
- Herkese açık cihazları koruyun
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free