Microsoft Threat Intelligence ve Black Lotus Labs tarafından yakın zamanda yayınlanan bir ortak raporda, çeşitli bilgisayar korsanlığı araçlarını kullanarak Windows altyapısına saldıran gelişmiş bir Rus ulus devlet siber aktörü olan “Secret Blizzard” hakkında yeni bilgiler ortaya çıktı.
Gizli casusluk operasyonlarıyla tanınan Secret Blizzard, istihbarat toplama yeteneklerini geliştirmek için son yedi yılda en az altı diğer tehdit aktörünün altyapısını ve araçlarını kullanıyor.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, Rusya Federal Güvenlik Servisi’ni (FSB), diğer devlet destekli ve siber suçlu aktörlerin araçlarından ve altyapılarından yararlanan benzersiz bir yöntem olan Secret Blizzard’a atfediyor.
Bu yaklaşımın öncelikli hedefi dünya çapında dışişleri bakanlıkları, elçilikler, savunma bakanlıkları ve ilgili kuruluşları kapsayan devlet düzeyindeki casusluktur.
Sadece çok çeşitli operasyonlar yürütmekle kalmıyorlar, aynı zamanda siyasi açıdan önemli istihbarat toplamak için değerli sistemlere uzun vadeli erişim sağlamayı da hedefliyorlar.
Rapordaki önemli bir açıklama, Secret Blizzard’ın, SideCopy, Transparent Tribe ve APT36 olarak da bilinen Storm-0156 olarak bilinen Pakistan merkezli bir casusluk grubunun altyapısını kullanmasıdır.
Güney Asya’daki operasyonları kolaylaştırmayı hedefleyen bu grup öncelikle arka kapılar kuruyor ve istihbarat topluyor.
Microsoft Threat Intelligence ve Black Lotus Labs’ın işbirliği, Afganistan ve Hindistan’daki kampanyalardan sızdırılan verileri düzenleyen Storm-0156 altyapısının Secret Blizzard’ın komuta ve kontrol trafiğini oluşturduğunu doğruladı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Kasım 2022’den bu yana Microsoft Tehdit İstihbaratı, Secret Blizzard’ın Pakistan merkezli bir casusluk grubu olan Storm-0156’nın altyapısını tehlikeye attığını gözlemliyor.
Secret Blizzard, Storm-0156’nın CrimsonRAT ve Arsenal gibi araçlarını ele geçirerek TwoDash, MiniPocket ve Statuszy gibi kendi kötü amaçlı yazılımlarını dağıtırken, DLL yan yükleme ve benzer dosya adları aracılığıyla Storm-0156’nın işlemlerini taklit etti.
Bu erişim, Secret Blizzard’ın C2 trafiğini kendi altyapısına yönlendirmesine ve Storm-0156’nın arka kapılarını devralmasına olanak tanıdı. KızılRAT Ve Wainscott daha fazla saldırı için.
- Wainscott: Ekim 2023’ten beri aktif olan, komutları yürütebilen, dosya aktarımı yapabilen ve ekran görüntüsü alabilen Golang tabanlı bir arka kapı. Öncelikle Windows’u hedef alırken, genişletilmiş özelliklere sahip bir Linux çeşidi de rapor edildi.
- KızılRAT: Ek modüller aracılığıyla sistem bilgisi toplama, süreç listeleme, dosya aktarımı, komut yürütme ve tuş kaydetme dahil gelişen yeteneklere sahip .NET tabanlı bir arka kapı.
Secret Blizzard’ın metodolojisi, sızma yeteneklerini geliştirmek için TinyTurla varyantı ve TwoDash olarak bilinen özel bir indirici dahil olmak üzere birden fazla arka kapının dağıtılmasını içerir.
Buna ek olarak, casusluk çabalarını desteklemek için Heykelzy olarak adlandırılan bir pano izleme aracı ve diğer kötü amaçlı yazılımları kullanıyorlar.
- Yüklenen dosyalar ve yükleyicinin farklı bir kullanıcı adı
- IP adresi, konum, işletim sistemi sürümü ve yüklü antivirüs yazılımı da dahil olmak üzere etkilenen cihaz bilgileri
- Ağ bağlantısı etkinlikleri, oturumun süresi ve bağlantı kesme ve bağlanma zamanı gibi zaman damgaları
Rapor, Secret Blizzard’ın küresel siber güvenlik üzerindeki önemli etkisini vurguluyor. Stratejik konumlandırma ve arka kapı konuşlandırması yoluyla bu grup, Dışişleri Bakanlığı ve İstihbarat Genel Müdürlüğü de dahil olmak üzere Afganistan hükümetinin altyapısına etkili bir şekilde sızmayı başardı.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses