Finansal motivasyona sahip GOLD MELODY tehdit grubu, en azından 2017’den beri aktif durumda ve internete yönelik yama yapılmamış sunuculardaki kusurlardan yararlanarak kuruluşlara saldırıyor.
Bir tehdit grubu, diğer siber suçlulara kendi çıkarları için güvenliği ihlal edilen kuruluşlara erişim satarak bir ilk erişim komisyoncusu (IAB) görevi görür.
SecureWorks Karşı Tehdit Birimi (CTU), “Kurban bilimi, devlet destekli bir tehdit grubunun casusluk, imha veya düzeni bozma amacıyla yürüttüğü hedefli bir kampanyadan ziyade mali kazanç amaçlı fırsatçı saldırıları akla getiriyor” dedi.
Grubun Kullandığı Araçlar
GOLD MELODY, tehlikeye atılmış bir ortama girdikten sonra özel uzaktan erişim truva atlarını (RAT’lar), web kabuklarını, yerleşik işletim sistemi yardımcı programlarını ve tünel açma araçlarını kullanır. Gözlemlenen araçlar şunlardır:
Burp Suite Collabfiltrator, IHS Back-Connect arka kapısı, Wget, Mimikatz, TxPortMap, WinExe, GOTROJ, PAExec, AUDITUNNEL, PuTTY ve 7-Zip, Responder.
Temmuz 2020 ile Temmuz 2022 arasındaki beş Secureworks IR etkileşiminde görülen davranış, araştırmacılar tarafından GOLD MELODY ile ilişkilendirildi.
Gözlemlenen saldırılar, Flexera FlexNet (CVE-2021-4104), Oracle E-Business Suite (CVE-2016-0545), Apache Struts (CVE-2017-5638), Sitecore XP’yi etkileyenler de dahil olmak üzere çeşitli sorunlardan yararlanmayı içeriyordu. (CVE-2021-42237) ve Oracle E-Business Suite (CVE-2016-0545).
Özellikle internet üzerinden erişilebilen sunuculardaki açıklardan yararlanarak bir ağa girdikten sonra GOLD MELODY, virüslü ağ içinde kalıcılık oluşturmaya çalışır. Kalıcılık için GOLD MELODY JSP web kabuklarını kullandı.
Tehdit aktörleri bu web kabuğu aracılığıyla sunucuya erişebiliyor ve sık sık geri gelerek keşif komutları verebiliyordu. Tehdit aktörleri, Temmuz 2022’de Base64 kodlu web kabuğunun kodunu çözmek için Burp Suite Collaborfiltrator uzantısını kullanan bir PowerShell betiği oluşturdu.
Azaltma
GOLD MELODY’nin savunmadan kaçınma çabaları başarısız oldu. Araştırmacıların incelediği beş izinsiz girişte, kötü niyetli faaliyetlerin erken keşfedilmesi, suç örgütünün hedeflerine ulaşmasını engellemiş gibi görünüyor.
GOLD MELODY’nin hedef aldığı çok sayıda kuruluş, örgütün ciddi bir tehdit oluşturduğunu gösteriyor. İnternet üzerinden erişilebilen yama yapılmamış sunuculardaki kusurlardan yararlanmaya olan bağımlılığı, etkili yama yönetiminin önemini vurgulamaktadır.
Çevreyi ve uç noktaları izlemek, bir grup ağa girdiğinde zararlı etkinlikleri durdurmak için güvenilir ve etkili bir yöntemdir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.