Hacktivist Grup, Windows ve Linux’u Şifrelemek İçin WinRAR Güvenlik Açığını Kullandı

   Eylül 2, 2024  Posted in CyberSecurityNews


Hacktivist Grup, Windows ve Linux'u Şifrelemek İçin WinRAR Güvenlik Açığını Kullandı

Hacktivist grup Head Mare, WinRAR’daki bir güvenlik açığından yararlanarak Windows ve Linux’ta çalışan sistemlere sızıp şifrelemeyi başardı.

Rus-Ukrayna çatışmasının başlangıcından bu yana aktif olan bu grup, öncelikli olarak Rusya ve Belarus’taki örgütleri hedef aldı. Saldırıları, maksimum kesintiye neden olmaya odaklanan karmaşık tekniklerle karakterize edilir.

DÖRT

Güvenlik Açığı: CVE-2023-38831

Secure List raporuna göre, Head Mare tarafından istismar edilen ve CVE-2023-38831 olarak tanımlanan güvenlik açığı, popüler bir dosya arşivleme aracı olan WinRAR’da bulunuyor.

X'te Baş Kısrak yazısı
X’te Baş Kısrak yazısı

Bu kusur, saldırganların özel olarak hazırlanmış arşiv dosyaları aracılığıyla kurbanın sisteminde keyfi kod yürütmesine olanak tanır. Bu güvenlik açığından yararlanarak, Head Mare kötü amaçlı yüklerini daha etkili bir şekilde iletebilir ve gizleyebilir.

What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!

Exploit Nasıl Çalışır?

Bir kullanıcı, tehlikeye atılmış bir arşivdeki görünüşte meşru bir belgeyi açmaya çalıştığında, kötü amaçlı kod yürütülür ve saldırganlara sisteme erişim izni verilir.

Ürünlerimizin PhantomDL örneklerini tespit ettiği kararlar: kötü amaçlı yazılım, diğer şeylerin yanı sıra CVE-2023-38831 için bir istismar olarak tanınıyor
Ürünlerimizin PhantomDL örneklerini tespit ettiği kararlar: kötü amaçlı yazılım, diğer şeylerin yanı sıra CVE-2023-38831 için bir istismar olarak tanınıyor

Ürünlerimizin PhantomDL örneklerini tespit ettiği kararlar: kötü amaçlı yazılım, diğer şeylerin yanı sıra CVE-2023-38831 için bir istismar olarak tanınıyor

Bu saldırı yöntemi kullanıcı etkileşimine dayandığı için tehlikelidir ve geleneksel güvenlik önlemleriyle tespit edilmesi daha zordur.

Birçok hacktivist grubun aksine Head Mare, herkese açık yazılımlar ile özel kötü amaçlı yazılımların bir karışımını kullanıyor.

Araç setleri şunları içerir:

  • LockBit ve Babuk Fidye Yazılımı: Dosyaları şifrelemek ve fidye talep etmek için kullanılır.
  • PhantomDL ve PhantomCore: İlk erişim ve istismar için kullanılan özel kötü amaçlı yazılım.
  • Gümüş: Tehlikeye maruz kalmış sistemleri yönetmek için açık kaynaklı bir komuta ve kontrol (C2) çerçevesi.

İlk Erişim ve Kalıcılık

Head Mare, WinRAR güvenlik açığını istismar eden kötü amaçlı arşivleri dağıtarak kimlik avı kampanyaları aracılığıyla ilk erişimi elde eder. İçeri girdikten sonra, Windows kayıt defterine girdiler eklemek ve zamanlanmış görevler oluşturmak gibi kalıcılığı sürdürmek için çeşitli yöntemler kullanırlar.

Head Mare’nin saldırıları çeşitli kişileri etkiledi

hükümet kurumları, ulaşım, enerji, imalat ve eğlence gibi endüstriler. Birincil amaçları yalnızca maddi kazanç elde etmekten ziyade sistemleri bozmak ve fidye talep etmek gibi görünüyor.

Grup, sosyal medyada kamuoyuna açık bir varlık sürdürüyor ve zaman zaman mağdurlarına ilişkin bilgiler paylaşıyor.

Head Mare, bazı hacktivist gruplardan farklı olarak verilerin şifrelerinin çözülmesi karşılığında fidye de talep ediyor ve bu da politik amaçlı saldırılarına finansal bir boyut katıyor.

Saldırı Altyapısının Analizi

Head Mare’nin gelişmiş altyapısı, C2 hub’ları olarak VPS/VDS sunucularını kullanır. Pivotlama için ngrok ve rsockstun gibi araçlar kullanırlar ve bu da aracı olarak tehlikeye atılmış makineleri kullanarak özel ağlarda gezinmelerine olanak tanır.

Grubun C2 sunucuları, saldırılarının farklı aşamalarında kullanılan çeşitli yardımcı programları barındırır. Bunlar arasında komutları yürütmek için PHP kabukları ve ayrıcalık yükseltme için PowerShell betikleri bulunur.

PhantomDL'nin C2 ile iletişimi
PhantomDL’nin C2 ile iletişimi
PhantomCore C2 bağlantısı
PhantomCore C2 bağlantısı

Head Mare, tespit edilmekten kaçınmak için kötü amaçlı yazılımlarını meşru yazılım gibi gizlemek gibi çeşitli teknikler kullanıyor.

Örneğin, fidye yazılımı örneklerini OneDrive ve VLC gibi uygulamaları taklit edecek şekilde yeniden adlandırıyor ve bunları tipik sistem dizinlerine yerleştiriyor.

Bulanıklaştırma ve Kılık Değiştirme

Kötü amaçlı yazılım örnekleri genellikle Garble gibi araçlar kullanılarak gizlenir ve bu da bunların tespit edilmesini ve analiz edilmesini zorlaştırır. Ayrıca, grup kimlik avı kampanyalarında çift uzantılar kullanarak kötü amaçlı dosyaları zararsız belgeler gibi gösterir.

Head Mare’nin C2 Altyapısının Analizi

Head Mare’nin faaliyetleri, jeopolitik çatışmalar bağlamında siber tehditlerin değişen doğasını vurgulamaktadır.

CVE-2023-38831 gibi güvenlik açıklarından yararlanarak siber savaşın teknik ve psikolojik yönlerine ilişkin gelişmiş bir anlayışa sahip olduklarını gösteriyorlar.

Rusya ve Belarus’taki kuruluşlar, CVE-2023-38831 gibi güvenlik açıklarını yamalamaya öncelik vermeli ve kimlik avı tespit yeteneklerini artırmalıdır.

Düzenli güvenlik denetimleri ve çalışanların kimlik avı girişimlerini tanıma konusunda eğitilmesi de bu tür saldırıların riskini azaltmaya yardımcı olabilir.

Haktivist gruplar taktiklerini geliştirmeye devam ederken, güçlü siber güvenlik önlemlerinin önemi yeterince vurgulanamaz.

Head Mare vakası, dijital araçların daha geniş çatışmalarda silaha dönüştüğü, teknoloji ile uluslararası politika arasındaki karmaşık etkileşimi hatırlatıyor.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial



Source link