Hindistan bağlantılı gelişmiş bir tehdit aktörünün, kimlik bilgisi toplamayı, kötü amaçlı yazılım dağıtımını ve komuta ve kontrolü (C2) kolaylaştırmak için birden fazla bulut hizmeti sağlayıcısını kullandığı gözlemlendi.
Web altyapısı ve güvenlik şirketi Cloudflare, etkinliği şu ad altında izliyor: DağınıkLemmingOutrider Tiger ve Fishing Elephant olarak da adlandırılan.
Cloudflare, yaptığı analizde, “SloppyLemming, 2022’nin sonundan bugüne kadar, muhtemelen Güney ve Doğu Asya ülkelerini hedef alan geniş kapsamlı bir casusluk kampanyasının parçası olarak, Cloudflare Workers’ı rutin olarak kullandı” dedi.
SloppyLemming’in en azından Temmuz 2021’den beri aktif olduğu değerlendiriliyor ve önceki kampanyalarda Ares RAT ve WarHawk gibi kötü amaçlı yazılımlar kullanılıyordu; ikincisi de SideWinder adlı bilinen bir hacker ekibiyle bağlantılı. Öte yandan Ares RAT’ın kullanımı, muhtemelen Pakistan kökenli bir tehdit aktörü olan SideCopy ile bağlantılı.
SloppyLemming’in faaliyetlerinin hedefleri arasında Pakistan, Sri Lanka, Bangladeş, Çin, Nepal ve Endonezya’da bulunan hükümet, kolluk kuvvetleri, enerji, eğitim, telekomünikasyon ve teknoloji kuruluşları yer alıyor.
Saldırı zincirleri, alıcıları acil bir durum hissi yaratarak kötü amaçlı bir bağlantıya tıklamaları için kandırmayı amaçlayan hedeflere kimlik avı e-postaları göndermeyi ve zorunlu bir işlemi önümüzdeki 24 saat içinde tamamlamaları gerektiğini iddia etmeyi içeriyor.
URL’ye tıklandığında kurban, kimlik bilgilerinin toplandığı bir sayfaya yönlendiriliyor ve bu da tehdit aktörünün ilgi duyduğu kuruluşlardaki hedeflenen e-posta hesaplarına yetkisiz erişim elde etmesini sağlayan bir mekanizma görevi görüyor.
Şirketten yapılan açıklamada, “Aktör, kimlik bilgisi kayıt mantığını yönetmek ve kurbanın kimlik bilgilerini tehdit aktörüne sızdırmak için kötü amaçlı bir Cloudflare Worker oluşturmak amacıyla CloudPhish adlı özel olarak oluşturulmuş bir araç kullanıyor” denildi.
SloppyLemming tarafından gerçekleştirilen saldırıların bazıları, Google OAuth belirteçlerini ele geçirmek için benzer tekniklerden yararlanmış ve ayrıca uzaktan kod yürütme elde etmek için muhtemelen bir WinRAR açığından (CVE-2023-38831) yararlanan tuzaklı RAR arşivlerini (“CamScanner 06-10-2024 15.29.rar”) kullanmıştır.
RAR dosyasının içerisinde, sahte belgeyi görüntülemenin yanı sıra, Dropbox’ta barındırılan uzaktan erişim trojanını almak için bir indirici görevi gören “CRYPTSP.dll” dosyasını gizlice yükleyen bir yürütülebilir dosya bulunuyor.
Burada, siber güvenlik şirketi SEQRITE’ın geçen yıl SideCopy aktörleri tarafından Hindistan hükümetini ve savunma sektörlerini hedef alarak, aynı açığı tetiklemek üzere tasarlanmış “DocScanner_AUG_2023.zip” ve “DocScanner-Oct.zip” adlı ZIP arşivlerini kullanarak Ares RAT’ı dağıtmak için yürütülen benzer bir kampanyayı ayrıntılarıyla anlattığını belirtmekte fayda var.
SloppyLemming tarafından kullanılan üçüncü enfeksiyon dizisi, potansiyel hedefleri Pakistan’daki Punjab Bilgi Teknolojileri Kurulu’nu (PITB) taklit eden sahte bir web sitesine yönlendirmek için mızraklı kimlik avı yemleri kullanmayı içeriyor ve ardından hedef kişiler, bir internet kısayolu (URL) dosyası içeren başka bir siteye yönlendiriliyor.
URL dosyası, aynı sunucudan PITB-JR5124.exe adlı bir yürütülebilir dosya olan başka bir dosyayı indirmek için kodla gömülü olarak gelir. İkili dosya, daha sonra bir Cloudflare Worker ile iletişim kuran profapi.dll adlı bir sahte DLL’i yan yüklemek için kullanılan meşru bir dosyadır.
Şirket, bu Cloudflare Worker URL’lerinin aracı görevi gördüğünü ve istekleri saldırganın kullandığı gerçek C2 etki alanına ilettiğini belirtti (“aljazeerak”)[.]çevrimiçi”).
Cloudflare, “SloppyLemming’in Pakistan polis teşkilatlarını ve diğer kolluk kuvvetlerini hedef alma yönünde yoğun çabalar gösterdiğini” belirterek, “Aktörün Pakistan’ın tek nükleer enerji tesisinin işletimi ve bakımıyla ilgili kuruluşları hedef aldığına dair belirtiler olduğunu” söyledi.
Belge toplama faaliyetinin diğer hedefleri arasında Sri Lanka ve Bangladeş hükümet ve askeri kuruluşları ile daha az ölçüde Çin enerji ve akademik sektör kuruluşları yer alıyor.