ABD siber güvenlik ve istihbarat teşkilatları Salı günü, bir siber casusluk kampanyasının bir parçası olarak, birden fazla ulus-devlet bilgisayar korsanlığı grubunun potansiyel olarak bir “Savunma Sanayi Üssü (DIB) Sektörü kuruluşunun kurumsal ağını” hedeflediğini açıkladı.
“[Advanced persistent threat] aktörler, çevrede yer edinmek ve ağı daha fazla tehlikeye atmak için Impacket adlı açık kaynaklı bir araç seti kullandı ve ayrıca kurbanın hassas verilerini çalmak için özel bir veri hırsızlığı aracı olan CovalentStealer’ı kullandı.”
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Ulusal Güvenlik Ajansı (NSA) tarafından hazırlanan ortak danışma belgesi, düşmanların muhtemelen tehlikeye atılan ortama uzun vadeli erişime sahip olduğunu söyledi.
Bulgular, CISA’nın Kasım 2021’den Ocak 2022’ye kadar güvenilir bir üçüncü taraf güvenlik firmasıyla işbirliği içinde gerçekleştirdiği olay müdahale çabalarının sonucudur. İzinsiz girişi bilinen bir tehdit aktörüne veya grubuna bağlamadı.
Ağı ihlal etmek için kullanılan ilk enfeksiyon vektörü de bilinmiyor, ancak bazı APT aktörlerinin 2021 Ocak ayının ortalarında hedefin Microsoft Exchange Sunucusu için dijital bir köprü başı elde ettiği söyleniyor.
Şubat ayındaki müteakip kullanım sonrası faaliyetler, keşif ve veri toplama çabalarının bir karışımını gerektirdi; ikincisi, sözleşmeyle ilgili hassas bilgilerin sızdırılmasıyla sonuçlandı. Bu aşamada, kalıcılığı sağlamak ve yanal hareketi kolaylaştırmak için Impacket aracı da kullanıldı.
Bir ay sonra, APT aktörleri Microsoft Exchange Server’daki ProxyLogon kusurlarından yararlanarak 17 China Chopper web kabuğunu ve yalnızca Lucky Mouse (aka APT27, Bronze Union, Budworm veya Emissary Panda) adlı Çinli bir tehdit grubu tarafından kullanılan bir arka kapı olan HyperBro’yu kurdular.
Davetsiz misafirler, Temmuz ayının sonundan 2021 Ekim ayının ortasına kadar, dosya paylaşımlarında depolanan belgeleri sifonlamak ve bir Microsoft OneDrive bulut klasörüne yüklemek için isimsiz varlığa karşı CovalentStealer adlı özel bir kötü amaçlı yazılım türü kullandılar.
Kuruluşların olağandışı VPN’lerden gelen bağlantılar, şüpheli hesap kullanımı, anormal ve bilinen kötü niyetli komut satırı kullanımı ve kullanıcı hesaplarında yapılan yetkisiz değişiklikler için günlükleri izlemeleri önerilir.