Cisco, Salt Typhoon olarak bilinen bir Çin tehdit aktörünün, CVE-2018-0171 olarak izlenen bilinen bir güvenlik kusurunu kötüye kullanarak ve büyük ABD telekomünikasyon şirketlerine yönelik hedefli bir kampanyanın bir parçası olarak meşru kurban giriş kimlik bilgileri elde ederek erişim kazandığını doğruladı.
Hacker’ları son derece sofistike ve iyi finanse edilmiş olarak tanımlayan Cisco Talos, “Tehdit oyuncusu daha sonra, iki yıldan fazla bir süredir bir örnekte erişimi sürdürerek, uzun süreler boyunca birden fazla satıcının ekipmanları arasında hedef ortamlarda kalma yeteneklerini gösterdi.” Dedi.
Diyerek şöyle devam etti: “Bu kampanyanın uzun zaman çizelgesi, yüksek derecede koordinasyon, planlama ve sabır-standart sürekli ısrarlı tehdit (APT) ve devlet destekli aktörlerin standartlarını gösteriyor.”
Ağ Ekipmanı Binbaşı, CVE-2023-20198 ve CVE-2023-2027 ila CVE-2023-2027 ile izlenen kusurları içeren kamu gelecekten gelen yeni bir raporun aksine, diğer bilinen güvenlik hatalarının saldırı ekibi tarafından silahlandırıldığına dair hiçbir kanıt bulamadığını söyledi. Ağlara sızın.
Kampanyanın önemli bir yönü, ilk erişim elde etmek için geçerli, çalıntı kimlik bilgilerinin kullanılmasıdır, ancak edinme şekli bu aşamada bilinmemektedir. Tehdit oyuncusu ayrıca ağ cihazı yapılandırmaları yoluyla kimlik bilgilerini elde etmek ve zayıf şifre türleriyle yerel hesapları deşifre etmek için çaba sarf ettiği gözlemlenmiştir.
Talos, “Buna ek olarak, ağ cihazları ve TACACS/RADIUS sunucuları arasında kullanılan gizli anahtarlar da dahil olmak üzere SNMP, TACACS ve yarıçap trafiğini yakalayan tehdit aktörünü gözlemledik.” Diyerek şöyle devam etti: “Bu trafik yakalamasının amacı neredeyse kesinlikle takip kullanımı için ek kimlik bilgisi ayrıntılarını numaralandırmaktır.”
Salt Typhoon tarafından sergilenen bir başka dikkate değer davranış, ağ cihazlarında yer alan (LOTL) tekniklerinden yararlanarak, bir telekomdan diğerine atlamak için pivot işaretleri olarak güvenilir altyapıyı kötüye kullanmayı gerektirir.
Bu cihazların, hedeflenen nihai hedefe ulaşmak için ara röleler olarak veya düşüşün uzun süre tespit edilmemesinin bir yolunu sunduğundan, giden veri açığa çıkma işlemleri için ilk atlama olarak kullanıldığından şüpheleniliyor.
Ayrıca, tuz tayfun, yerel hesaplar oluşturmak, konuk kabuğunun erişimini sağlamak ve SSH aracılığıyla uzaktan erişimi kolaylaştırmak için ağ yapılandırmalarını değiştiren tespit edildi. Ayrıca kullanıma sunulur, Jumblathy adlı, aktör tanımlı bir atlama konuku aracılığıyla uzak bir Cisco cihazında bir paket yakalama yürütmelerine izin veren ısmarlama bir yardımcı programdır.
GO tabanlı ELF ikili, kötü niyetli aktivitenin izlerini gizlemek ve adli analizi daha zor hale getirmek amacıyla günlükleri temizleyebilir ve günlüğü devre dışı bırakabilir. Bu, uygulanabilir yerlerde .bash_history, auth.log, lastLog, WTMP ve BTMP dahil olmak üzere ilgili günlükleri silmek için yapılan periyodik adımlarla desteklenir.
Cisco, “Bu yardımcı programın kullanımı, isteğin orijinal kaynağını ve nihai varış noktasını gizlemeye yardımcı olacak ve operatörünün potansiyel olarak halka açık olmayan (veya yönlendirilebilir) cihazlar veya altyapı boyunca hareket etmesine izin verecektir.”
“Tehdit oyuncusu, uzatılmış bir anahtardaki geri döngü arayüzünün adresini tekrar tekrar değiştirdi ve bu arayüzü hedef ortamdaki ek cihazlara SSH bağlantılarının kaynağı olarak kullanın ve bu cihazlarda erişim kontrol listelerini (ACL’ler) etkili bir şekilde atlamalarına izin veriyor. . “
Şirket, Cisco cihazlarının açık akıllı kurulum (SMI) ile “ek yaygın hedeflemesini” ve ardından CVE-2018-0171’in sömürülmesini belirlediğini söyledi. Belirttiği aktivite, tuz tayfası ile ilgisiz ve bilinen herhangi bir tehdit oyuncusu veya grupla örtüşmeleri paylaşmıyor.