Siber güvenlik uzmanları, hacktivist gruplar BlackJack ve Twelve arasında örtüşen taktikler, teknikler ve prosedürler (TTP’ler) aracılığıyla önemli bir bağlantıyı ortaya çıkardı.
Bu keşif, bu gruplar tarafından kullanılan karmaşık yöntemleri aydınlatıyor ve potansiyel işbirlikleri veya ortak hedefler hakkında soruları gündeme getiriyor.
Bulgular, Rus kuruluşlarını hedef alan ortak araçları, kötü amaçlı yazılımları ve benzer saldırı modellerini ortaya koyuyor.
Bu makale, bu bağlantıların sonuçlarını ve siber güvenlik savunmaları için ne anlama geldiğini araştırarak soruşturmanın ayrıntılarını ele alıyor.
BlackJack ve Twelve kimdir?
BlackJack
BlackJack, 2023’ün sonunda Rus şirketlerini ve devlet kurumlarını hedef alan hacktivist bir grup olarak ortaya çıktı.
Telegram kanalları aracılığıyla iletildiği üzere belirtilen amaçları, Rus ağlarındaki güvenlik açıklarından yararlanmaktır.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin:
Haziran 2024 itibarıyla BlackJack bir düzineden fazla saldırının sorumluluğunu üstlendi ve kamuya açıklanmayan diğer olaylar da onların dahil olduğunu gösteriyordu.
Grup, SSH istemcisi PuTTY ve silici Shamoon gibi ücretsiz olarak kullanılabilen ve açık kaynaklı yazılımlara güveniyor; bu da daha karmaşık APT gruplarına özgü kaynak eksikliğine işaret ediyor.
On iki
Twelve grubu, araçlar ve hedefler açısından BlackJack ile birçok benzerliği paylaşıyor. BlackJack gibi Twelve de saldırılar için özel araçlardan kaçınarak halka açık yazılımları kullanıyor.
Bu iki grup arasındaki örtüşme, Kaspersky Security Network (KSN) telemetrisi ve Kaspersky Tehdit İstihbaratı çözümleri aracılığıyla keşfedilerek, paylaşılan kötü amaçlı yazılım örnekleri ve saldırı metodolojileri ortaya çıkarıldı.
Çakışan Taktikler ve Araçlar
SecureList raporuna göre hem BlackJack hem de Twelve’in Shamoon silecek ve LockBit fidye yazılımının benzer sürümlerini kullandığı tespit edildi.
BlackJack’in kullandığı Shamoon sileceği Go’da yazılmıştır, Twelve’in versiyonu da benzer özellikler göstermektedir. Bu kötü amaçlı yazılım örnekleri, farklı saldırılarda aynı dizinlerde bulundu:
- Sysvol\etki alanı\komut dosyaları
- \$$DOMAIN]\netlogon\
- C:\ProgramVerileri\
Bu özel dizinler, saldırganların kötü amaçlı yazılımları kurban altyapılarına verimli bir şekilde yaymasına olanak tanır.
Uzaktan Erişim Araçları
Her iki grup da, güvenliği ihlal edilmiş sistemlere kalıcı erişimi sürdürmek için uzaktan erişim araçlarını (RAT’ler) kullanıyor.
BlackJack başlangıçta Radmin’i kullanmaya çalıştı ancak sonunda harici bağlantılar için AnyDesk’e güvendi. Benzer şekilde Twelve, hedeflenen altyapılardaki SSH bağlantıları için PuTTY gibi araçları kullanır.
Paylaşılan Komutlar ve Prosedürler
Araştırma, her iki grup tarafından da zamanlanmış görevler oluşturmak ve olay günlüklerini temizlemek için kullanılan aynı komutları ortaya çıkardı.
Bu komutlar, gizliliği korurken saldırıları gerçekleştirmeye yönelik sistematik bir yaklaşımı vurgulamaktadır:
# Zamanlanmış Görev Oluşturma
reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ID}:Actions","`powershell.exe` Copy-Item `\\[DOMAIN]\netlogon\bj.exe` -Destination `C:\ProgramData`
# Olay Günlüklerini Temizleme
powershell -command wevtutil el | Foreach-Object {Write-Host Clearing $_; wevtutil cl $_}
BlackJack ve Twelve arasındaki TTP’lerdeki önemli örtüşme, Rus hedeflerine karşı işbirliğini veya ortak bir hedefi akla getiriyor.
Doğrudan ilişkilendirme zorlu olmayı sürdürürken, kötü amaçlı yazılım örnekleri, saldırı metodolojileri ve hedef seçimi arasındaki benzerlikler, birleşik bir hacktivist faaliyet kümesine işaret ediyor.
Hedeflenen Kuruluşlar Üzerindeki Etki
Bu grupların faaliyetleri öncelikle Rusya’nın hükümetini, telekomünikasyon ve sanayi sektörlerini etkiledi.
Saldırıları, finansal kazanç elde etmek yerine verileri şifreleyerek, silerek ve çalarak maksimum hasara neden olmaya odaklanıyor.
BlackJack ve Twelve arasındaki örtüşen TTP’lerin keşfi, hacktivist grupların oluşturduğu siber tehditlerin gelişen manzarasının altını çiziyor.
Bu gruplar yöntemlerini geliştirmeye ve taktikler üzerinde işbirliği yapmaya devam ederken, kuruluşların potansiyel riskleri azaltmak için siber güvenlik savunmalarını güçlendirmeleri gerekiyor.
Görünüşte birbirinden farklı tehdit aktörleri arasındaki bağlantıları anlamak, stratejilerine ilişkin değerli bilgiler sağlayabilir ve daha etkili karşı önlemlerin geliştirilmesine yardımcı olabilir.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats ->