Başlangıçta Hint-Pasifik bölgesine odaklanan APT aktörü Earth Baku, 2022’nin sonlarından itibaren faaliyetlerini önemli ölçüde artırdı.
Grup, Avrupa, Orta Doğu ve Afrika’daki (MEA) varlığını artırdı; ayrıca İtalya, Almanya, BAE ve Katar’da da işbirliği yaptığını doğruladı.
Trend Micro’daki siber güvenlik araştırmacıları yakın zamanda Earth Baku’nun kalıcılığı sağlamak ve verileri çalmak için özelleştirilmiş araçlar kullandığını keşfetti.
Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot
Teknik Analiz
Earth Baku, ilk giriş noktası olarak İnternet Bilgi Hizmetleri (IIS) sunucuları gibi halka açık uygulamaları kullanacak şekilde çalışma yöntemlerini (MO) yeniden canlandırdı.
Başarılı bir ihlalin ardından, StealthVector ve StealthReacher yükleyicilerinin yanı sıra modüler yapıda olan SneakCross arka kapısından oluşan karmaşık bir kötü amaçlı yazılım stoğu yerleştiriyorlar.
Ayrıca, grubun altyapısına Gürcistan üzerinden yapılan bağlantıların gözlenmesi ve Romanya’dan yapılan çok sayıda zararlı yazılım içeren indirmeler nedeniyle bu ülkelerin tehditlere maruz kalabileceği belirtiliyor.
Bu, Dünya Bakü’nün küresel siber operasyonları ve potansiyel etkisi açısından önemli bir dönüm noktasını işaret ediyor.
Raporda hedeflenen sektörlerin Hükümet, Medya ve İletişim, Telekom, Teknoloji, Sağlık ve Eğitim olduğu belirtildi.
IIS sunucuları, Earth Baku tarafından son operasyonlarda Godzilla webshell ile başlangıç kontrolü için bir giriş noktası haline gelmek üzere istismar edildi. Bundan sonra, grup iki ana yükleyici kullanır:-
- GizliVektör
- Gizli Ulaşıcı
AES şifrelemesi ve kod sanallaştırması ile güncellenen bir dizi StealthVector varyantı tarafından farklı arka kapı bileşenleri başlatılır. SneakCross bunların arasında yepyeni bir tanesidir, StealthReacher’ın oldukça geliştirilmiş bir sürümüdür.
Bu yükleyiciler ayrıca DLL boşaltma ve ETW ve CFG gibi güvenlik özelliklerini kapatma gibi gelişmiş kaçınma stratejilerini kullanır.
Earth Baku’nun son modüler arka kapısı olan SneakCross, komuta ve kontrol iletişimi için Google servislerini, tespitten kaçınmak içinse Windows Fibers’i kullanıyor.
Bu son derece gelişmiş kötü amaçlı yazılım paketi, kalıcı erişim elde etmek için kolayca bulunabilen ters tünelleme araçlarını da kullanırken, MEGAcmd de bunun sızdırma aracı olarak hizmet ediyor.
Earth Baku’nun siber operasyonlardaki gelişmişliği, ScrambleCross’tan daha gelişmiş SneakCross’a geçiş gibi gelişen taktikleri nedeniyle zamanla arttı.
Aşağıda çeşitli arka kapı işlevlerini destekleyen tüm eklentilerden bahsettik:
- Kabuk Operasyonları
- Dosya Sistemi İşlemleri
- İşlem İşlemleri
- Ağ Araştırması
- Ağ Mağazası Arayüz İşlemleri
- Ekran İşlemleri
- Sistem Bilgi Keşfi
- Dosya İşleme İşlemleri
- Keylogger
- Active Directory İşlemleri
- Dosya Yükleyici
- RDP
- DNS İşlemleri
- DNS Önbellek İşlemleri
- Kayıt İşlemleri
Dünya Bakü’nün sömürü sonrası cephaneliği, erişimin sürdürülmesi ve verinin dışarıya aktarılması konusunda gelişmiş bir yöntem göstermektedir.
Kalıcılık için, daha az parametre ve -ggg bayrağı (uyarlanmış bir sürüm) ile özelleştirilmiş iox, çok seviyeli proxy ve Go tabanlı Rakshasa, Tailscale VPN aracılığıyla iç ağ penetrasyonu gibi çeşitli ters tünelleme araçları kullanılır; böylece tehlikeye atılan sistemler sanal ağlarının bir parçası haline gelerek geriye doğru izlenmesi zorlaşır.
MEGAcmd, büyük miktardaki verilerin hızlı bir şekilde yüklenmesi için veri sızdırma ve MEGA bulut depolama için kullanılır.
Bu ileri taktikler, Dünya Bakü’nün daha geniş bir coğrafi kapsama alanıyla da birleşerek, etkisini Hint ve Pasifik Okyanusu bölgesinden Avrupa ve Orta Doğu Afrika’ya (MEA) doğru genişletmiştir.
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Her zaman en az ayrıcalık ilkesini uygulayın.
- Güvenlik açıklarını mutlaka giderin.
- Proaktif bir olay müdahale stratejisi geliştirin.
- Kurumsal verilerinizin en az üç adet yedek kopyasını bulundurduğunuzdan emin olun.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Acces