Hydrochasma adlı daha önce bilinmeyen bir tehdit aktörü, COVID-19 aşı geliştirme ve tedavilerinde yer alan nakliye ve tıbbi laboratuvarları hedef alıyor.
Bilgisayar korsanlarının hedefi istihbarat çalmak gibi görünüyor ve faaliyetleri geçen Ekim ayından beri bir Broadcom şirketi olan Symantec’teki tehdit avcıları tarafından izleniyor.
Hydrochasma saldırılarının bir özelliği, yalnızca açık kaynaklı araçlara ve “karada yaşama” (LotL) taktiklerine güvenmeleri ve ilişkilendirmeye yol açabilecek hiçbir iz bırakmamalarıdır.
Saldırı akışı
Bir Hydrochasma saldırısı büyük olasılıkla bir kimlik avı e-postasıyla başlar; bu, Symantec’in güvenliği ihlal edilmiş makinelerdeki kötü niyetli etkinliğin kaynağı olarak belgeleri taklit eden yürütülebilir dosyalar tespit ettiği gerçeğine dayanan bir varsayımdır.
Sahte belgeler, nakliye firmalarını hedeflerken bir “ürün spesifikasyonu bilgisi” temasını ve tıbbi laboratuvarları hedeflerken bir “iş başvurusu özgeçmişi” kullanır.
Saldırgan, bir makineyi ele geçirdikten sonra erişimi, bir NAT (Ağ Adresi Çevirisi) veya güvenlik duvarının arkasındaki genel web yerel sunucularına maruz bırakabilen bir Hızlı Ters Proxy’yi (FRP) bırakmak için kullanır.
Ardından, davetsiz misafir virüs bulaşmış sisteme aşağıdaki araçları bırakır:
- Metre yorumlayıcısı (Microsoft Edge Updater kılığında) uzaktan erişim sağlayan gelişmiş penetrasyon testi özelliklerine sahip bir araç
- Git git: otomatik bir ağ tarama motoru
- İşlem Damperietki alanı parolalarını (lsass.exe) boşaltmak için
- Kobalt Vuruşu işaretçisikomutları yürütmek, süreçleri enjekte etmek, dosya yüklemek/indirmek için
- AlliN tarama aracıyanal hareket için kullanılır
- fscan: açık port tarayıcı
- Dogz: ücretsiz VPX proxy aracı
- SoftEtherVPN: ücretsiz açık kaynaklı VPN aracı
- Procdump: kilitlenme dökümleri, işlem dökümleri oluşturmaya ve bir uygulamanın CPU kullanımını izlemeye izin veren bir Microsoft Sysinternals yardımcı programı
- TarayıcıGhost: tarayıcı şifre kapmak
- Gost vekili: tünel açma aracı
- ntlm rölesi: NTLM aktarma saldırıları için ve geçerli kimlik doğrulama isteklerini engellemek için kullanılır
- Görev Zamanlayıcısı: bir sistemdeki görevleri otomatikleştirir
- şerit: bir Go ikili dosyasının boyutunu küçültür
- HackBrowserData: tarayıcı verilerinin şifresini çözmek için açık kaynaklı yardımcı program
Halka açık araçların bu kadar kapsamlı bir listesinin kullanılması, etkinliğin belirli bir tehdit grubuna bağlanmasını zorlaştırır ve saldırganların kurbanın ağında uzun süre kalmayı amaçladığını gösterir.
Symantec, “Hydrochasma tarafından konuşlandırılan araçlar, kurban makinelere kalıcı ve gizli erişim elde etme arzusunun yanı sıra ayrıcalıkları artırma ve kurban ağları arasında yanal olarak yayılma çabasını gösteriyor” diyor.
“Symantec araştırmacıları, kurban makinelerden sızan verileri gözlemlemese de, Hydrochasma tarafından dağıtılan bazı araçlar uzaktan erişime izin veriyor ve potansiyel olarak verileri sızdırmak için kullanılabilir.”
Araştırmacılar, Hydrochasma’nın izlerini örtmek için belirli kampanyalarda LotL araçlarını ve taktiklerini özel olarak kullanmaya başlayan bilinen bir tehdit aktörü olma olasılığını göz ardı etmiyor.
Şu anda, aktör Hydrochasma’nın türüne işaret eden tek ipucu, Symantec’in Asya’da bulunduğunu söylediği kurbanları tarafından veriliyor. Ancak bu gösterge tek başına uygun bir profil oluşturmak için yeterli değildir.