Son iki yılda, İran devleti destekli bir tehdit aktörü, yama yapılmamış Microsoft Exchange sunucuları çalıştıran 32 İsrail kuruluşuna sızma gerçekleştirdi ve bu sırada yeni bir arka kapı açtı.
TA453, Fosfor ve Balistik Bobcat olarak da bilinen Charming Kitten, İran İslam Cumhuriyeti’nin sponsorluğunda on yılı aşkın süredir kullanılan bir APT’dir. Grup, tarihsel olarak Amerika Birleşik Devletleri’ne ve onun velinimetinin Batı’ya karşı bete noire’ına ve ayrıca kendi sınırları içindeki bireysel gazetecilere ve aktivistlere özel bir ilgi duymuştur.
Ancak kendisini her zaman belirli coğrafi bölgeler veya sektörlerle sınırlamaz. ESET araştırmacılarının “Sponsor Erişimi” olarak adlandırdığı son kampanyasında Charming Kitten, sözde “tara ve yararlan” yaklaşımını benimseyerek, yeni arka kapı “Sponsorunu” İsrail’deki (artı Brezilya’daki bir) kuruluşa karşı kullandı. ve Birleşik Arap Emirlikleri’ndeki bir diğeri) hala yama yapılmamış Microsoft Exchange sunucularını çalıştırıyor. Ve böyle bir yaklaşım ilk kez olmuyor.
İran – İsrail, Microsoft Exchange aracılığıyla
Kasım 2021’de CISA, İran devleti destekli bilgisayar korsanlarının Fortinet FortiOS, FortiGate ve Microsoft Exchange’deki bilinen kritik güvenlik açıklarından yararlandığı konusunda uyardı.
Örneğin Ağustos ayındaki bir vakada ESET, Charming Kitten’ın MS Exchange’deki 9,8 CVSS dereceli kritik uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2021-34473 aracılığıyla bir İsrail kuruluşuna saldırdığını gözlemledi. Takip eden aylarda Charming Kitten, CVE-2021-34473 tarafından sağlanan erişimi kullanarak bir dizi gelişen veriyi bıraktı ve Aralık ayında en son arka kapısı olan Sponsor’a karar verdi.
Sponsor, ana bilgisayarı hakkında çeşitli bilgiler toplayan ve bunu bir komuta ve kontrol (C2) sunucusuna geri gönderen, büyük ölçüde geleneksel bir arka kapıdır. Ayrıca sahibinin komutları çalıştırmasına ve dosyaları hedeflenen makineye indirmesine de olanak tanır.
CISA’nın bildiriminden bu yana geçen birkaç yıl içinde Charming Kitten, Sponsor’u bırakmak için açığa çıkan MS Exchange sunucularının yanı sıra Mimikatz ve Plink gibi herhangi bir sayıda açık kaynak araçtan yararlanarak aynı duruma defalarca geri döndü. hat aracı – herhangi bir eski İsrail ağına.
Yaygın APT Siber Kampanyası
Yalnızca hatalı yama uygulayanları hedef alan Sponsor Erişimi, her şeyden önce fırsatçı bir kampanyadır. Bu belki de dikkate değer bir gerçekle en iyi şekilde vurgulanıyor: ESET tarafından gözlemlenen 34 vakanın 16’sında, Charming Kitten, ele geçirilen ağa erişimi olan tek tehdit aktörü değildi.
ESET araştırmacısı Adam Burgher, “Tara ve yararlan”, daha yüksek hedefli bir yaklaşımın aksine, “APT’lerin kurbanlara erişimlerini artırmak için yaptığı bir şey” diyor ve ekliyor: “belki de diğerleri bu kadar yaygın değil” kampanya.”
Charming Kitten’ın kurbanları arasında bir medya kuruluşu, bir tıbbi hukuk firması, iki BT şirketi, cilt bakım ürünleri satıcıları, yiyecek, elmaslar ve daha fazlası yer alıyor. Hedeflerin ezici çoğunluğu İsrailliydi; ancak garip bir şekilde ikisi İsrailli değildi: BAE’de kimliği belirsiz bir kuruluş ve Brezilya’da bir tıbbi kooperatif ve sağlık sigortası operatörü.
Neyse ki, Sponsor Erişimi saldırıları bilinen, düzeltilebilir bir güvenlik açığından yararlandığı için basit bir yamayla savuşturulması da kolaydır.
Burgher, “Bunlar, varlıkları internete bağlı olan herhangi bir kurumsal kuruluşa veya herhangi bir kuruluşa söyleyeceğim şeylerdir” diye vurguluyor. “İnternete bağlı olan şeyin ne olduğunu bildiğinizden emin olun, ona yama yapın ve iyi denetim kayıtlarına sahip olduğunuzdan emin olun.”