HeptaX Siber Saldırısı Yetkisiz RDP Erişimi Risklerine Yol Açıyor

   Ekim 28, 2024  Posted in ThecyberExpress


Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), HeptaX olarak bilinen kalıcı bir tehdit grubu tarafından düzenlenen devam eden bir siber saldırı kampanyası bildirdi. Bu kampanya, yetkisiz Uzak Masaüstü erişimi elde etmek için çeşitli taktiklerden yararlanıyor ve başta sağlık sektörü olmak üzere çok çeşitli kullanıcılar için birden fazla risk oluşturuyor.

Kampanya, ZIP arşivlerine yerleştirilmiş, muhtemelen kimlik avı e-postaları yoluyla yayılan kötü amaçlı kısayol dosyalarının (.lnk) teslim edilmesiyle başlıyor. Bu karmaşık çok aşamalı saldırı zinciri, daha fazla yükün indirilmesini ve yürütülmesini kolaylaştırmak için büyük ölçüde PowerShell ve BAT komut dosyalarına güveniyor ve saldırganların geleneksel güvenlik önlemlerinden kaçabilecek komut dosyası tabanlı tekniklere olan tercihini ortaya koyuyor.

Kötü amaçlı LNK dosyası yürütüldüğünde, yalnızca uzak sunucudan sonraki yükleri indirmekle kalmayıp aynı zamanda ele geçirilen sistemde bir yönetici kullanıcı hesabı oluşturan bir PowerShell komutunu tetikler. Uzak Masaüstü ayarlarında yapılan bu değişiklik, kimlik doğrulama gereksinimlerini azaltarak tehdit aktörlerinin yetkisiz uzaktan erişim kurmasını kolaylaştırır.

Buna ek olarak HeptaX, Chromium tabanlı tarayıcılardan kayıtlı şifreleri toplayan ve daha geniş hesap risklerini önemli ölçüde artıran ChromePass adlı iyi bilinen bir şifre kurtarma aracını kullanıyor. Bu grubun taktiklerinin anlaşılması zor doğası nedeniyle CRIL, bu kampanyayı “HeptaX” adı altında izlemeyi tercih etti.

HeptaX Kampanyasına Genel Bakış

HeptaX kampanyası siber casusluğa yönelik çok katmanlı bir yaklaşımın örneğini oluşturuyor. Kötü niyetli bir LNK dosyası içeren görünüşte zararsız bir ZIP dosyasıyla başlar. Bu ZIP dosyalarının kesin kaynağı belirlenemese de, bunların sağlık sektörünü hedef alan kimlik avı programları yoluyla yayıldığından şüpheleniliyor.

HeptaX kampanyasıHeptaX kampanyası
HeptaX kampanya enfeksiyon zinciri (Kaynak: Cyble)

Yürütüldükten sonra LNK dosyası, uzak bir sunucudan daha fazla PowerShell betiği ve BAT dosyası da dahil olmak üzere ek yükleri indiren bir PowerShell komutunu başlatır. Bir dizi komut dosyası, yönetici ayrıcalıklarına sahip yeni bir kullanıcı hesabı oluşturmak, Terminal Hizmetleri (Uzak Masaüstü Protokolü) ayarlarını değiştirmek ve saldırganların veri sızdırma, kötü amaçlı yazılım yükleme ve hatta sistem gözetimi gerçekleştirmeleri için bir yol oluşturmak için uyum içinde çalışır.


Tarayıcınız video etiketini desteklemiyor.

Bulaşma süreci, LNK dosyasının yürütülmesiyle başlar ve bir PowerShell betiğinin indirilmesine yol açar. Bu komut dosyası, güvenliği ihlal edilmiş sistem için belirli kayıt defteri yollarından elde edilebilecek veya mevcut değilse oluşturulabilecek benzersiz bir tanımlayıcıyı (UID) alır.

HeptaX tehdit kampanyasıHeptaX tehdit kampanyası
UID Oluşturma (Kaynak: Cyble)

Bunu takiben komut dosyası, Windows Başlangıç ​​klasöründe kalıcı bir kısayol oluşturarak kötü amaçlı yazılımın sistem yeniden başlatıldığında etkin kalmasını sağlar.

Saldırının sonraki aşamaları, Kullanıcı Hesabı Denetimi (UAC) ayarlarının devre dışı bırakılmasını ve ek kötü amaçlı komut dosyalarının yürütülmesini içerir. Kaydedilmiş şifreleri web tarayıcılarından çıkarmak için ChromePass’in kullanılması, hassas kimlik bilgilerinin kolayca tehlikeye girebilmesi nedeniyle mağdurlara yönelik riskleri artırır.

Teknik Analiz

HeptaX kampanyası, güvenliği ihlal edilmiş sistemler üzerinde kontrolü kolaylaştıran PowerShell ve Batch komut dosyalarına güvenmeyle karakterize edilir. İlk PowerShell betiği, bilgi göndermek ve diğer yükleri indirmek için bir temel URL oluşturur. Bu yaklaşım, siber casusluk operasyonlarında saldırganların algılamayı atlatmak için komut dosyası tabanlı yöntemleri tercih ettiği bir eğilimi yansıtıyor.

HeptaX Gizlenmiş PowerShell KoduHeptaX Gizlenmiş PowerShell Kodu
Gizlenmiş PowerShell Kodu (Kaynak: Cyble)

Saldırının ilk aşaması, indirilen PowerShell betiğinin sistem bilgilerini toplamasını ve UAC ayarlarını değiştirmesini içeriyor. UAC’nin devre dışı bırakıldığı veya daha düşük bir güvenlik düzeyine ayarlandığı tespit edilirse komut dosyası, sistemi daha da tehlikeye sokan ek komut dosyaları indirmeye devam eder.

En kritik aşamalardan biri saldırganların “” isimli yeni bir kullanıcı hesabı oluşturması ile ortaya çıkıyor.ÖnyüklemeUEFI”yönetici haklarına sahip olun ve Uzak Masaüstü ayarlarını değiştirin. Bu ayarlamalar, kesintisiz yetkisiz erişimi kolaylaştırarak saldırganların güvenliği ihlal edilmiş sistemlerden istedikleri gibi yararlanmalarına olanak tanır.

Saldırı Aşamalarının Adım Adım Dağılımı

  1. İlk Uzlaşma: Saldırı, ZIP dosyası içeren bir kimlik avı e-postasıyla başlar. Bu ZIP dosyası, yürütüldüğünde saldırıyı başlatan kötü amaçlı bir LNK dosyası içeriyor.
  2. PowerShell Yürütme: LNK dosyası yürütüldüğünde, uzak sunucudan daha fazla veri indirmek için bir PowerShell komutunu tetikler. Bu komut dosyası, güvenliği ihlal edilmiş sistemden bir UID toplar ve Başlangıç ​​klasöründe yeni bir kısayol oluşturarak kalıcılığı ayarlar.
  3. UAC Manipülasyonu: Komut dosyası, güvenlik önlemlerini azaltmak için UAC ayarlarını kontrol edip değiştirerek saldırganların sisteme daha kolay erişmesine olanak tanır.
  4. Toplu Dosya Dağıtımı: Komut dosyası, yönetici hesabının oluşturulmasını kolaylaştıran ve yetkisiz erişime karşı Uzak Masaüstü ayarlarını düzenleyen birden fazla BAT dosyasını indirir ve çalıştırır.
  5. Nihai Yükün Yürütülmesi: Son aşama, sistemde keşif yapan ve kullanıcı kimlik bilgileri ve ağ yapılandırmaları dahil hassas bilgileri toplayan bir PowerShell betiğinin indirilmesini içerir.

Uzak Masaüstü Erişiminden Yararlanma

Saldırganlar “ÖnyüklemeUEFI” hesabını kullanarak, ele geçirilen Uzak Masaüstü’nü kolayca ele geçirebilirler. Bu erişim, aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı faaliyetler gerçekleştirmelerine olanak tanır:

  • Ek Kötü Amaçlı Yazılım Yükleme: Sınırsız erişim sayesinde saldırganlar, sistem üzerindeki kontrollerini artırmak için daha fazla kötü amaçlı yazılım yükleyebilir.
  • Veri Sızıntısı: Hassas bilgiler çok az dirençle çekilerek veri gizliliği ve bütünlüğüne yönelik önemli bir tehdit oluşturabilir.
  • Kullanıcı Etkinliğini İzleme: Saldırganlar, kullanıcı eylemlerini gözetleyerek kurumsal süreçlere ve potansiyel olarak hassas bilgilere ilişkin içgörüler elde edebilir.
  • Sistem Manipülasyonu: Varlıklarını daha da sağlamlaştırmak veya gelecekteki erişim için arka kapılar oluşturmak için sistem ayarlarını değiştirebilirler.

ChromePass’in altyapıya dağıtılması, kayıtlı şifrelerin toplanmasına odaklanıldığını gösteriyor ve hem bireylere hem de kuruluşlara yönelik tehdit düzeyini artırıyor.

Çözüm

HeptaX kampanyası, özellikle PowerShell ve BAT komut dosyaları gibi temel komut dosyası dilleri aracılığıyla Uzak Masaüstü erişiminden yararlanan ve karmaşık, tespit edilemeyen saldırılara izin veren siber casusluk operasyonlarında artan bilgisayar korsanları tehdidini vurguluyor.

Bu tehditlere karşı koymak için kuruluşlar, zararlı ekleri engellemek için e-posta filtreleme uygulamalı, çalışanları kimlik avı riskleri konusunda eğitmeli, komut dosyası dillerinin yürütülmesini kısıtlamalı, ayrıcalıklı hesap oluşturma için katı politikalar oluşturmalı, Kullanıcı Hesabı Denetimi ayarlarını düzenli olarak izlemeli, Uzak Masaüstü güvenliğini çoklu- faktör kimlik doğrulaması yapın ve olağandışı etkinlikleri tespit etmek için kapsamlı ağ izleme kullanın.

Kuruluşlar, bu proaktif adımları atarak HeptaX’in oluşturduğu karmaşık tehditlere karşı savunmalarını önemli ölçüde geliştirebilir ve daha güvenli bir dijital ortam oluşturabilir.



Source link