Proofpoint araştırmacıları tarafından, yeni basılan bir APT aktörü olan TA473’ün, Zimbra’da bulunan ve CVE-2022-27926 olarak izlenen bir güvenlik açığından yararlanarak Zimbra tarafından barındırılan web posta portallarını kötüye kullandığı gözlemlendi.
Bu etkinliğin tek amacı, Rusya-Ukrayna Savaşı’na katılan aşağıdaki kuruluşlara yetkisiz erişim elde etmektir:-
- Askeri
- Devlet
- Diplomatik
Tehdit aktörleri, mağdurları hedeflemek için savunmasız web posta portallarını ve olası yöntemleri Acunetix’in yardımıyla belirler.
Tehdit aktörleri kılığına giren kimlik avı e-postaları, ilk tarama keşfinin ardından gizli devlet kaynaklarını teslim eder.
Bu kimlik avı e-postaları, tehdit aktörleri tarafından kurbanın web posta portallarında JavaScript yüklerini yürütmek için bilinen güvenlik açıklarını kötüye kullanmak için kullanılan kötü amaçlı URL’lere köprüler içerir.
TA473 Hacker Grubu
Genel olarak TA473, aşağıdaki güvenlik satıcılarının atadığı Winter Vivern ve UAC-0114 tarafından da bilinir: –
- Etki Alanı Araçları
- laboratuvar52
- Nöbetçi Bir
- Ukrayna SERTİFİKASI
PowerShell ve JavaScript yükleri, geçmişte bu tehdit aktörü tarafından kimlik avı kampanyaları aracılığıyla teslim edilmiştir. Ayrıca, kimlik bilgilerini toplamak için tekrarlanan kimlik avı kampanyaları da yürütür.
Proofpoint, 2021’den beri Avrupa hükümetlerini, askeri ve diplomatik kuruluşları hedef alan birkaç aktif kimlik avı kampanyası gözlemledi.
Bunun dışında, 2022’nin sonlarından bu yana birkaç kimlik avı kampanyası gözlemlendi ve bu kampanyalar esas olarak ABD’de aşağıdaki varlıkları hedefliyor:-
- Seçilmiş yetkililer
- Çalışanlar
Teknik Analiz
2021’den bu yana TA473’ün kimlik avı kampanyaları, kurbanlarını hedef alacak şekilde çok gelişti; fırsatçı istismarlar kullanır.
Bu tehdit aktörü tarafından tüm e-posta kampanyalarında en sık kullanılan bir dizi kimlik avı yinelenen tekniktir. Aşağıda, grup tarafından kullanılan TTP’lerden bahsetmiştik: –
- E-postalar, TA473 tarafından güvenliği ihlal edilmiş e-posta adresleri aracılığıyla gönderilir ve çoğu durumda bu e-postalar, yama uygulanmamış ve güvenli olmayan WordPress tarafından barındırılan alanlardan gelir.
- TA473, hedeflenen kuruluşta bir kullanıcı ve küresel siyasete dahil olan ilgili bir akran kuruluş olarak gizlenmek için e-postanın “alanından” bilgisini taklit eder.
- Saldırgan, TA473 e-postasının gövdesinde, kendisini hedeflenen bir kuruluştan veya eş kuruluştanmış gibi gösteren hassas bir URL içerir.
- Ardından, hassas URL’ler, aktör tarafından kontrol edilen veya güvenliği ihlal edilmiş altyapı ile köprülenerek, birinci aşama bir yük teslim edilir veya kimlik bilgileri toplanır.
- Bazı durumlarda, ilk e-postada hedeflere köprülenmiş iyi huylu bir URL’nin şifrelenmiş veya düz metin sürümleri, hedeflenen kişi için karma bir değer belirten yapılandırılmış URI yolları yerine kullanılır.
Öncelikle CVE-2022-27926’dan yararlanan bir kimlik avı e-postasının gövdesine kötü amaçlı bir URL yerleştirilmiştir. Bu yüklerin kullanımı daha sonra aşağıdaki bilgileri çalar: –
- Kullanıcı adları
- şifreler
- Çerezlerden CSRF Jetonları
- Çalınan değerleri aktör tarafından kontrol edilen sunucuda önbelleğe alır
- Etkin belirteçlerle meşru posta portalına giriş yapmaya çalışır
- Aktör tarafından kontrol edilen bir sunucuda barındırılan Pop3 ve IMAP talimatlarını görüntüler
- Yerel URL aracılığıyla meşru web posta portalına giriş yapmaya çalışır
Tehdit aktörleri, bu verilere erişim sağladıktan sonra, bu bilgilerle hedeflerinin e-posta hesaplarına ücretsiz olarak erişebilir.
Kimlik avı e-postaları oluşturmadan önce hedefin portalını belirlemek ve açılış sayfasını ayarlamak, tehdit aktörlerinin saldırı öncesi keşifte ne kadar aktif ve dinamik olduğunu gösterir.
‘Winter Vivern’in kötü amaçlı JavaScript kodu, 3 katman base64 gizleme kullanır ve tespit edilmekten kaçınmak için web posta portalından yasal kod içerir.
Bu, tehdit aktörünün güvenliği ihlal edilmiş web posta hesapları üzerinde bir tutma yoluyla iletişimleri izlemesine ve böylece hassas bilgilere erişmesine olanak tanır.
Bunun dışında bilgisayar korsanları, yanal kimlik avı saldırıları gerçekleştirmek için ihlal edilmiş hesapları kullanarak hedef kuruluşlara daha fazla sızabilir.
Zimbra Collaboration 9.0.0 P24’te CVE-2022-27926 düzeltildi ve Nisan 2022’de piyasaya sürüldü. TA473, en gelişmiş APT tehdidi olmamasına rağmen, yüksek profilli Avrupa hedeflerini tehlikeye atmak için sebat, odaklanma ve tutarlı bir süreç gösteriyor.
Kötü Amaçlı Yazılımlara Karşı Savunma Stratejinizi Oluşturma – Ücretsiz E-Kitap İndirin
İlgili Makale: