Otomotiv endüstrisindeki BT çalışanları, müşteri verileri, fikri mülkiyet hakları ve kritik sistemler gibi hassas bilgilere erişime sahip oldukları için genellikle bilgisayar korsanları tarafından hedef alınmaktadır.
Bağlantılı teknolojilerin otomotiv endüstrisine bağımlılığı ve verilerinin değeri, onları tehdit aktörleri için cazip hedefler haline getiriyor.
BlackBerry analistleri yakın zamanda FIN7 korsanlarının otomotiv sektörünün BT çalışanlarına aktif olarak saldırdığını keşfetti.
FIN7 BT Çalışanlarına Saldırıyor
Bazı BlackBerry değerlendirmelerine göre 2023 yılı sonunda FIN7 hackerları tarafından ABD merkezli büyük bir otomobil üreticisine yönelik hedef odaklı kimlik avı kampanyası düzenlendi.
FIN7, yönetici haklarına sahip BT personelinden yararlanmak için yem olarak ücretsiz bir IP tarama aracı kullandı ve ardından Anunak arka kapısını konuşlandırdı.
Bu saldırıların, ulaştırma ve savunma gibi sektörlere odaklandığı bilinen, Rusya’dan mali motivasyonlu bir APT grubu olan FIN7’nin daha geniş bir kampanyasının parçası olduğu bildirildi.
Ancak bu gerçekleşmeden önce Blackberry ekibi fidye yazılımı saldırısı gerçekleştiremeden müdahale etti.
Bu, olası kayıpları azaltmak için izinsiz girişleri erken tespit etmenin önemini göstermektedir.
FIN7 daha sonra saldırıların etkilerini en üst düzeye çıkarmak için harika ayrıntılı planlarla daha büyük fidye ödeyebilecek büyük av hayvanlarını avlamaya yöneldi.
Hedefleri dikkatlice seçen ve inceleyen, yüksek erişim haklarına sahip çalışanlara yakınlaşan ve kötü amaçlı URL’ler içeren hedef odaklı kimlik avı e-postaları aracılığıyla “WsTaskLoad.exe” gibi yükleri teslim eden izcilerdir.
Bu saldırılar, meşru sitelere duyulan güvenden faydalanıyor ve bu tür gelişmiş tehditleri azaltmak için güçlü siber güvenlik önlemlerinin gerekliliğini vurguluyor.
.webp)
WsTaskLoad.exe, Anunak/Carbanak’ın son yükünü birden çok aşamada yürütür. Jutil.dll adı verilir ve daha sonra dışa aktarılan “SizeSizeImage” işlevini çalıştırır.
jutil.dll artık infodb\audio.wav’ı okuyor ve şifresini çözüyor; şifresi çözülmüş blobu, mspdf.dll dosyasına kopyalanan kabuk kodudur ve orada kod olarak çalışır.
Bu kabuk kodu ayrıca infodb\audio.wav dosyasını tekrar okur ve şifresini çözer; şifresi çözülmüş bu blob, daha sonra aynı kabuk koduyla yüklenebilen ve çalıştırılabilen bir yükleyicidir.
Yükleyici, geçerli dizindeki dosyaları belirli bir işaretle eşleşen dmxl.bin ve dfm\open.db ile tanımlar.
Şifresi çözülen dmxml.bin, kampanya kimliği olarak “rabt4201_x86”ya sahip olan Anunak yükünü oluşturur.
Bunun yanı sıra WsTaskLoad.exe, komut dosyası yayma ve kalıcılık oluşturma işlemlerini gerçekleştirir. Yaptığı ilk şey powertrash adı verilen karmaşık bir PowerShell betiğini çalıştırmaktır.
Bu, güvenlik duvarı bağlantı noktalarını açan bir iş olarak planlanan OpenSSH’nin kalıcı kurulumuyla sağlanır.
Sahte yem web sitesi “advanced-ip-scanner”[.]com”, “myipscanner”a işaret ediyordu[.]com” ve diğer birkaç alan adı da kaydedildi.
Güvenliği ihlal ettikten sonra OpenSSH, ortak bir parmak izi kullanan bir SSH tüneli proxy sunucusuyla harici erişim için kullanılır.
Hedef, BT departmanının kasıtlı olarak hedef alındığı çok uluslu büyük bir otomobil üreticisiydi.
Kullanılan gizleme ve araç FIN7 POWERTRASH taktiklerine benziyor ve bu olayın arkasındaki aktörün muhtemelen FIN7 olduğunu doğruluyor.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Düzenli Güvenlik Eğitimi Gerçekleştirin
- Sosyal Mühendislik Farkındalığı
- Kimlik Avı Rapor Sistemi
- Çok Faktörlü Kimlik Doğrulama
- Şifre hijyeni
- Güvenlik Güncellemeleri ve Yama Yönetimi
- Uç Nokta Güvenliği Çözümleri
- Şüpheli Davranışları İzleyin
- Veri Koruma ve Şifreleme
- E-posta Filtreleme ve Kimlik Doğrulama
- Olay Müdahalesi
Looking to Safeguard Your Company from Advanced Cyber Threats? Deploy TrustNet to Your Radar ASAP.