Bir hacker grubu olarak bilinen Baş Kısrak Rusya ve Belarus’ta bulunan kuruluşları hedef alan siber saldırılarla ilişkilendirildi.
Kaspersky, pazartesi günü grubun taktik ve araçlarına ilişkin yaptığı analizde, “Head Mare, ilk erişimi elde etmek için daha güncel yöntemler kullanıyor” dedi.
“Örneğin, saldırganlar WinRAR’daki nispeten yeni CVE-2023-38831 güvenlik açığından yararlandı. Bu güvenlik açığı saldırganın özel olarak hazırlanmış bir arşiv aracılığıyla sistemde keyfi kod yürütmesine olanak tanıyor. Bu yaklaşım, grubun kötü amaçlı yükü daha etkili bir şekilde iletmesine ve gizlemesine olanak tanıyor.”
2023’ten beri faaliyet gösteren Head Mare, bir yıl önce başlayan Rusya-Ukrayna çatışması kapsamında Rus örgütlerine saldıran hacktivist gruplardan biri.
Ayrıca, kurbanlardan hassas bilgileri ve dahili belgeleri sızdırdığı X’te de varlığını sürdürüyor. Grubun saldırılarının hedefleri arasında hükümetler, ulaşım, enerji, üretim ve çevre sektörleri yer alıyor.
İki ülkedeki şirketlere “maksimum zararı” vermeyi amaçlayan diğer hacktivist kişiliklerin aksine, Head Mare ayrıca Windows için LockBit ve Linux için Babuk (ESXi) kullanarak kurbanların cihazlarını şifreliyor ve verilerin şifresinin çözülmesi için fidye talep ediyor.
Araç setinin bir parçası olan PhantomDL ve PhantomCore’dan ilki, ek yükler sunabilen ve ilgi çekici dosyaları bir komuta ve kontrol (C2) sunucusuna yükleyebilen Go tabanlı bir arka kapıdır.
PhantomDL’nin öncülü olan PhantomCore (diğer adıyla PhantomRAT), benzer özelliklere sahip bir uzaktan erişim truva atıdır ve C2 sunucusundan dosya indirmeye, tehlikeye atılmış bir ana bilgisayardan C2 sunucusuna dosya yüklemeye ve cmd.exe komut satırı yorumlayıcısında komut çalıştırmaya olanak tanır.
Kaspersky, “Saldırganlar, faaliyetlerini Microsoft yazılımlarıyla ilgili görevler gibi gizlemek için MicrosoftUpdateCore ve MicrosoftUpdateCoree adlı zamanlanmış görevler ve kayıt defteri değerleri oluşturuyor” dedi.
“Ayrıca grubun kullandığı bazı LockBit örneklerinin şu adlara sahip olduğunu bulduk: OneDrive.exe [and] VLC.exe. Bu örnekler C:\ProgramData dizininde bulunuyordu ve kendilerini meşru OneDrive ve VLC uygulamaları olarak gizliyordu.”
Her iki eserin de, çift uzantılı iş belgeleri (örneğin, решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe veya тз на разработку.pdf.exe) biçiminde kimlik avı kampanyaları yoluyla dağıtıldığı tespit edildi.
Saldırı cephaneliğinin bir diğer önemli bileşeni ise açık kaynaklı bir C2 çerçevesi olan Sliver ve keşif, yatay hareket ve kimlik bilgisi toplamayı kolaylaştıran rsockstun, ngrok ve Mimikatz gibi çeşitli kamuya açık araçlar koleksiyonudur.
Saldırılar, hedef ortama bağlı olarak LockBit veya Babuk’un konuşlandırılmasıyla sonuçlanıyor ve ardından dosyaların kilidini açmak için bir şifre çözücü karşılığında ödeme talep eden bir fidye notu bırakılıyor.
Rus siber güvenlik sağlayıcısı, “Head Mare grubunun kullandığı taktikler, yöntemler, prosedürler ve araçlar genel olarak Rusya-Ukrayna çatışması bağlamında Rusya ve Belarus’taki örgütleri hedef alan kümelerle ilişkili diğer gruplarınkine benziyor” dedi.
“Ancak grup, PhantomDL ve PhantomCore gibi özel yapım kötü amaçlı yazılımları kullanmasının yanı sıra, kimlik avı kampanyalarında kurbanlarının altyapısına sızmak için nispeten yeni bir güvenlik açığı olan CVE-2023-38831’i istismar etmesiyle kendini farklılaştırıyor.”