Tehdit istihbaratı analizine göre, Savage Ladybug olarak da bilinen kötü şöhretli FIN7 siber suçlu grubu, 2022’den bu yana minimum değişiklikle gelişmiş bir Windows SSH arka kapı altyapısına güvenmeye devam ediyor.
Tehdit aktörü, güvenliği ihlal edilmiş sistemlerde gizli uzaktan erişim ve veri sızdırma yeteneklerini sürdürmek amacıyla ters SSH ve SFTP bağlantıları kurmak için OpenSSH araç setleriyle eşleştirilmiş bir install.bat betiği kullanırken operasyonel tutarlılığı korudu.
FIN7, düzenli olarak perakende, konaklama ve finans sektörü şirketlerini hedef alan, dünya çapındaki en üretken ve mali açıdan motive olmuş siber suç örgütlerinden biri olarak ününü kazanmıştır.
Grubun Windows SSH arka kapısını ısrarla kullanması, kampanyaları genelinde taktiksel avantajı ve operasyonel verimliliği korumaya yönelik hesaplı bir yaklaşımı gösteriyor.
Tehdit aktörü, kötü amaçlarla değiştirilen meşru SSH araçlarından yararlanarak, normal ağ trafiği içindeki faaliyetlerini etkili bir şekilde gizleyerek, geleneksel imza tabanlı tespit mekanizmalarına dayanan güvenlik ekipleri için tespit işlemini önemli ölçüde daha zorlu hale getirir.
FIN7 tarafından kullanılan saldırı metodolojisi, güvenliği ihlal edilmiş bir OpenSSH paketinin Windows sistemlerine kurulumunu ve yapılandırmasını düzenleyen bir install.bat betiğinin dağıtılmasını içerir.
Bu yaklaşım, standart Windows makinelerini ters SSH tünellerini ve SFTP veri aktarımlarını destekleyebilen düğümlere dönüştürür.
Bu arka kapılar kurulduktan sonra uzaktaki saldırganların, düşük adli ayak izini korurken güvenliği ihlal edilmiş ağlara kalıcı erişim sağlamalarına olanak tanır.
Ters SSH mimarisi özellikle etkili olduğunu kanıtlıyor çünkü kurban ağından giden bağlantıları başlatıyor ve genellikle gelen bağlantıları engellemek için tasarlanmış güvenlik duvarı kurallarını atlıyor.
Operasyonel Uzun Ömür ve Minimal Gelişim
FIN7’nin taktiklerini özellikle endişe verici hale getiren şey, grubun arka kapının etkinliğine olan güveninin açık olmasıdır; bu, üç yıllık sürekli dağıtım boyunca yapılan minimum değişikliklerle kanıtlanmıştır.
FIN7, tamamen yeni araçlar geliştirmek veya kanıtlanmış teknikleri terk etmek yerine, güvenlik sağlayıcısının tespit imzalarından kaçınmak için yalnızca artımlı değişiklikler uygulayan muhafazakar bir bakım yaklaşımını benimsedi.
Bu strateji, tamamen sertleştirilmiş saldırı altyapısının, hedef kuruluşların savunmalarına karşı etkili olduğu kanıtlandıktan sonra olgunlaştıkça bile değerli kaldığı operasyonel gerçeği yansıtıyor.
SFTP işlevselliğinin arka kapı çerçevesine entegrasyonu, FIN7 operatörlerine verimli veri sızdırma yetenekleri sağlar.
SFTP şifreli veri aktarımları, hırsızlığı meşru SSH etkinliği olarak gizleyerek tespit çalışmalarını daha da karmaşık hale getirir. Bu teknik gelişmişlik, FIN7’nin etkileşimli uzak kabuk erişimini sürdürmesine ve aynı zamanda güvenliği ihlal edilmiş sistemlerden büyük ölçekli veri aktarımlarını gerçekleştirmesine olanak tanır.
Olağandışı trafik düzenlerini izleyen güvenlik ekipleri, kurumsal ortamlarda rutin olarak kabul edilen SSH tabanlı etkinlikleri gözden kaçırabilir.
Kurumsal Güvenlik için Etkiler
Potansiyel FIN7 hedeflemesiyle karşı karşıya kalan kuruluşlar, özellikle alışılmadık hesap oluşturma, standart dışı kaynak konumlarından yapılan başarısız kimlik doğrulama girişimleri ve bu tür etkinliklerin normalde anormal olacağı Windows sistemlerindeki beklenmedik SSH istemci kurulumlarına odaklanarak, SSH kimlik doğrulama günlüklerinin gelişmiş izlemesini uygulamalıdır.
SSH bağlantısını onaylanmış idari altyapıyla sınırlayan ağ segmentasyonu, ters tünel oluşumunu tespit etmek için tasarlanmış davranışsal analiz araçlarıyla birleştiğinde, bu spesifik tehdit vektörüne karşı etkili savunma duruşları sağlar.
Bu kanıtlanmış arka kapı mekanizmasına olan güvenin devam etmesi, FIN7’nin etkinliğine olan güveninin ve güvenlik ekiplerinin Windows ortamlarında konuşlandırılan SSH tabanlı kalıcılık mekanizmaları için özel olarak tasarlanmış algılama yeteneklerini sürdürmelerinin öneminin altını çiziyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.