Google, bulut ortamlarını ve kurumsal ağları hedeflediği bilinen sofistike bir tehdit aktörü olan UNC6040’a karşı organizasyonel savunmaları güçlendirmeyi amaçlayan kapsamlı bir rehber yayınladı.
2024’ün sonlarında ortaya çıkan UNC6040, gelişmiş yük dağıtım yöntemlerinden ve özel kötü amaçlı yazılım yükleyicilerinden yararlanan yüksek koordineli kampanyaları için hızla dikkat çekti.
İlk araştırmalar, grubun etkinliğini stratejik casusluk hedefleriyle ilişkilendirdi, saldırganlar yanlış yapılandırılmış bulut depolamasını ve zayıf API kimlik doğrulamasını çeşitli ortamlarda dayanak oluşturmak için kullandı.
Kılavuzunda Google, UNC6040 tarafından kullanılan birincil saldırı vektörlerini detaylandırarak, silahlı eklerle mızrak aktı e-postalarını vurguluyor, bilinen web uygulaması güvenlik açıklarının kullanılması ve çalıntı hizmet hesap anahtarlarının yetkisiz kullanımı.
Bu taktikleri zincirleyerek, UNC6040 operatörleri minimal tespit ile yanal hareket ve ayrıcalık artışı elde eder.
Google Cloud analistleri, UNC6040’ın kötü niyetli etkinlikleri maskelemek ve Google Cloud ortamlarında standart güvenlik telemetrisinden kaçmak için Bulut SDK ve GCLOUD CLI gibi meşru idari araçları sürekli olarak kötüye kullandığını belirtti.
UNC6040’ın operasyonlarının etkisi, etkilenen işletmeler için derin olmuştur, bu da veri açığa çıkması, uzun süreli ağ uzlaşmaları ve önemli iyileştirme maliyetleri ile sonuçlanmıştır.
Hedefler, tescilli verilerin ve fikri mülkiyetin yüksek değerli varlıklar olduğu teknoloji, savunma ve telekomünikasyon sektörlerindeki kuruluşları içerir.
Google’ın kılavuzu, proaktif tehdit avını anormal davranış ve konfigürasyon sapmasının sürekli izlenmesi ile birleştirerek derinlemesine bir savunma yaklaşımı benimseme gerekliliğini vurgulamaktadır.
Rehberin teknik derin dalışında, önemli bir öneri Sigma ve Yara’yı kullanarak özel algılama kurallarını dağıtmaktır.
Örneğin, aşağıdaki Yara Kural snippet’i, farklı API çağırma modelleriyle eşleşerek UNC6040’ın yükleyici ikili dosyalarını tespit edebilir:-
rule UNC6040_Loader_Detection {
meta:
description = "Detect UNC6040 custom loader based on API calls"
author = "Google Cloud Security"
strings:
$api1 = "NtCreateUserProcess" wide
$api2 = "ZwQueueApcThread" wide
$str1 = "GoogleSecurityClient" ascii
condition:
uint16(0) == 0x5A4D and
2 of ($api*) and
$str1
}.webp)
Kalıcılık taktikleri
UNC6040’ların daha yakından incelenmesi kalıcılık taktikleri Grubun kötü niyetli bileşenleri meşru bulut yerli hizmetlere yerleştirme tercihini ortaya çıkarır.
İlk uzlaştıktan sonra, UNC6040 operatörleri genellikle uzun vadeli erişimi sürdürmek için sahte hizmet hesaplarını aşırı izinli rollerle kaydeder.
Bu hesaplar, özel bir arka kapı indirme ve yükleyen başlangıç komut dosyalarını yürütecek şekilde yapılandırılmıştır – gtoken_agent-Korumalı kanallar üzerinde komut ve kontrol (C2) sunucuları ile iletişim kurar.
Google’ın Kılavuzu, arka kapının modüler bir mimari kullandığını gösterir: C2 iletişimi için birincil ajan ve kimlik bilgisi hasat ve yanal hareket için ikincil eklentiler.
Kalıcılık, sanal makinelerin meta veri sunucusunda gizli bir cron iş girişi oluşturarak elde edilir:-
curl - X POST - H "Metadata-Flavor: Google" \
--data '{"items":[{"key":"startup-script","value":"bash /opt/gtoken_agent/install.sh"}]}' \
http://metadata.google.internal/computeMetadata/v1/project/attributesBu mekanizma gtoken_agent Örnek yeniden başlatıldıktan sonra yeniden yüklenir ve iyileştirme çabalarından sonra bile UNC6040’ın varlığını etkili bir şekilde korur.
Google, bu tür kalıcılık tekniklerini tespit etmek ve önlemek için meta veri değişikliklerinin otomatik olarak doğrulanması ile birlikte düzenli olarak hizmet hesabı rolleri ve meta veri özellikleri denetimlerini önerir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
