Hayatta Kalmak Telekomünikasyon ve Devlet Kuruluşlarını Hacklemek

   Ekim 12, 2023  Posted in GBHackers


Tehdit aktörleri, değerli veri ve altyapıyı barındırdıkları için telekomünikasyon şirketlerini ve bakanlıkları hedef alıyor.

Telekomünikasyon şirketleri hassas iletişim kayıtları tutar ve temel hizmetleri kesintiye uğratabilir; hükümet bakanlıkları ise gizli bilgiler içerir ve bu da onları aşağıdaki yasa dışı amaçlar için cazip hedefler haline getirir: –

  • Casusluk
  • Finansal kazanç
  • Siber savaş

Check Point’teki siber güvenlik araştırmacıları, en az 2021’den beri devam eden ve öncelikle Asya’da Telekom ve devlet sektörlerini hedefleyen bir kampanya olan ‘Stayin’ Alive’ı izledi.

Kampanya, indiricileri ve yükleyicileri dağıtıyor; CurKeep adı verilen bir tanesi birden fazla ülkeyi hedefliyor ve daha geniş bölgesel odağı ortaya koyuyor.

Belge

Ücretsiz demo

Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir

Kampanyanın basit ve çeşitli araçları, yükleri indirmek için tek kullanımlık görünüyor. Kod benzerlikleri yok ancak bölgedeki Çin bağlantılı tehdit aktörü ToddyCat ile bağlantı kuruyorlar.

Altyapı Analizi

Soruşturma, Eylül 2022’de Vietnamlı bir telekom şirketine gönderilen ve VirusTotal’a yüklenen bir e-postayla başladı.

E-posta, meşru ve yandan yüklenmiş dosyalar içeren bir ZIP eki içeriyordu. Yürütme, zamanlanmış bir görev aracılığıyla kalıcılığı koruyan ‘CurKeep’ adı verilen basit bir arka kapıyı içerir.

CurKeep enfeksiyon zinciri
CurKeep enfeksiyon zinciri (Kaynak – CheckPoint)

CurKeep örnekleri, muhtemelen aynı aktöre bağlı, birden fazla IP adresi arasında paylaşılan TLS sertifikasına (fd31ea84894d933af323fd64d36910ca0c92af99) sahip C&C sunucuları kullandı.

Stayin' Alive IP adresleri arasında paylaşılan sertifika
IP adresleri arasında Stayin’ Alive paylaşılan sertifikası (Kaynak – CheckPoint)

Kullanılan ek araçlar

Tehdit aktörlerinin kullandığı tüm ek araçlardan aşağıda bahsettik: –

  • CurLu Yükleyici
  • CurCore
  • CurCore Yükü
  • CurLog Yükleyici
  • Eski Vietnam Cazibesi

Yeni keşfedilen StylerServ örneği, dosyaları pasif dinlemeyi kullanarak yüksek bağlantı noktaları üzerinden sunar. Beş iş parçacığı belirli bağlantı noktalarını izler ve koşullar karşılanırsa uzak bağlantılar sırasında ‘stylers.bin’ gibi şifrelenmiş dosyalar sunar.

Bu dosyalar, çeşitli dosya formatlarından ve tanımlanamayan DWORD’lerden oluşan bir yapılandırmayı içeriyor gibi görünüyor.

Şifrelenmiş ve şifresi çözülmüş yapılandırmalar
Şifrelenmiş ve şifresi çözülmüş yapılandırmalar (Kaynak – CheckPoint)

Hedeflenen ülkeler

Tehdit aktörlerinin hedef aldığı tüm ülkelerden aşağıda bahsettik:-

  • Vietnam
  • Pakistan
  • Özbekistan
  • Kazakistan

Aşağıdaki alanlar, daha önce ToddyCat’in altyapısına bağlı olan ve 149.28.28’e paylaşılan bağlantılarla CurLog ve CurLu yükleyicileri tarafından kullanılmaktadır.[.]159:-

  • fopingu[.]iletişim
  • rtmcsync[.]iletişim

Gelişmiş aktörler, tespit ve atıflardan kaçınmak için giderek daha fazla tek kullanımlık yükleyicilere ve indiricilere güveniyor. ‘Stayin’ Alive’, temel arka kapılara sahip yüksek profilli kuruluşları hedef alarak bu eğilimi gösteriyor.

850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.



Source link