Teknolojinin hızla gelişmesiyle birlikte tehdit aktörleri, saldırılarının yanı sıra giderek daha karmaşık hale geliyor ve artan bir hızla gelişerek hayati altyapı ve hassas veriler için giderek artan bir tehdit oluşturuyor.
Tayvan’da yerleşik kuruluşlar, Microsoft tarafından yakın zamanda tespit edilen ve dünya çapında çeşitli sektörlerde uygulanabilecek olağandışı saldırı modellerinin tespit edildiği yeni bir kampanya kapsamında bir dizi teknikle aktif olarak hedef alındı.
Cyber Security News ile paylaşılan bir raporda Microsoft’taki siber güvenlik analistleri, bu kampanyayı ‘ETHEREAL PANDA’ ile bağlantısı olan Çin ulus devlet aktörü ‘Flax Typhoon’ ile ilişkilendirdi.
Bunun yanı sıra araştırmacılar, bu kampanyanın arkasındaki tehdit aktörlerinin amacının, çeşitli sektörlerde uzun vadeli casusluk ve erişim sağlamak olduğunu ileri sürdü.
2021 ortasından bu yana, Çin ulus devlet aktörü Flax Typhoon aktif olarak Tayvan’da aşağıdaki sektörleri hedef alıyor:-
- Devlet kurumları
- Eğitim kuruluşları
- Kritik üretim organizasyonları
- Bilgi teknolojisi kuruluşları
Ancak bu grup Tayvan dışında aşağıdaki bölgelerdeki mağdurları da hedef aldı:-
- Güneydoğu Asya
- Kuzey Amerika
- Afrika
Aşağıda, Flax Typhoon tarafından kullanıldığı tespit edilen tüm araçlardan bahsettik: –
Saldırı Zinciri
China Chopper web kabuğunun konuşlandırılması ve halka açık sunucularda mevcut olan bilinen güvenlik açıklarının kullanılmasıyla, Flax Typhoon operatörleri ilk erişim elde ediyor.
İlk erişim sağlandıktan sonra operatörler, güvenliği ihlal edilmiş sistem kimlik bilgilerini toplamak için aşağıdaki şeyleri dağıtarak uzun süreli RDP kontrolü kurmaya çalışır: –
Yukarıda belirtilen araçların yanı sıra, Flax Typhoon’un öncelikle arazide yaşama tekniklerine ve klavye üzerinde uygulamalı aktivitelere dayandığı gözlemlenmiştir.
Flax Typhoon, WMIC, PowerShell veya Windows Terminal aracılığıyla yönetici ayrıcalıklarını ihlal ettikten sonra NLA’dan kaçar, Yapışkan Anahtarları ve VPN bağlantılarını tehlikeye atılan sistemle değiştirerek uzun vadeli erişim sağlar.
Flax Typhoon, kayıt defteri anahtarlarında ince ayar yaparak Yapışkan Anahtarlar’dan yararlanıyor ve oturum açma ekranındaki kısayolu kullandıklarında Görev Yöneticisi’nin sistem ayrıcalıklarıyla başlatılmasını sağlıyor.
Daha sonra SoftEther VPN’i Invoke-WebRequest gibi sinsi araçlar aracılığıyla getirir, onu yasal Windows bileşenlerini (conhost.exe) taklit edecek şekilde yeniden adlandırır ve HTTPS üzerinden VPN içinde gizler. Bu, yanal hareket için WinRM ve WMIC tarafından desteklenen RDP bağlantılarının tespit edilmesini zorlaştırır.
Dahası, sızmanın ardından Flax Typhoon’un kimlik bilgilerini çalmak için tipik yöntemler kullandığı, esas olarak kullanıcı karmalarının depolandığı LSASS ve SAM’i hedef aldığı belirlendi.
Mimikatz ile genellikle ağdaki çevrimdışı kırma veya karma geçiş saldırıları için yararlı olan bu karmaları çıkarırlar.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Herkese açık sunucuları güncel tuttuğunuzdan emin olun.
- Yetkisiz değişiklikler için her zaman Windows kayıt defterini izlemeye devam edin.
- Olağandışı trafiği tespit etmek ve ağınızı güvende tutmak için ağ izleme ve izinsiz giriş tespit sistemlerini kullandığınızdan emin olun.
- Windows sistemlerini her zaman mevcut en son güvenlik yamalarıyla yamalanmış halde tutun.
- Güçlü MFA politikalarıyla hesap risklerini azaltın.
- Yanal hareketi önlemek amacıyla Yönetici şifrelerini rastgele hale getirmek için LAPS’ı kullanın.
- Flax Typhoon gibi gelişen tehditler için Microsoft Defender’da bulut korumasını etkinleştirin.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.