İran’dan casusluk güdümlü olduğundan şüphelenilen tehdit aktörlerinin, Orta Doğu’daki havacılık, havacılık ve savunma endüstrilerine yönelik devam eden saldırıların bir parçası olarak TWOSTROKE ve DEEPROOT gibi arka kapıları konuşlandırdıkları gözlemlendi.
Etkinlik, Google’ın sahibi olduğu Mandiant tarafından şu şekilde izlenen bir tehdit kümesiyle ilişkilendirildi: UNC1549 (diğer adıyla Nimbus Manticore veya Subtle Snail), bu durum ilk olarak geçen yılın başlarında tehdit istihbarat firması tarafından belgelendi.
Araştırmacılar Mohamed El-Banna, Daniel Lee, Mike Stokkel ve Josh Goddard, “2023 sonlarından 2025’e kadar faaliyet gösteren UNC1549, giriş kazanmak için üçüncü taraf ilişkilerinin kötüye kullanılması (hizmet sağlayıcılardan müşterilerine dönme), üçüncü taraflardan VDI kaçışları ve yüksek hedefli, rolle ilgili kimlik avı dahil olmak üzere karmaşık ilk erişim vektörlerini kullandı.” dedi.
Açıklama, İsviçreli siber güvenlik şirketi PRODAFT’ın, hack grubunu Avrupa telekomünikasyon şirketlerini hedef alan bir kampanyaya bağlamasından yaklaşık iki ay sonra geldi ve LinkedIn aracılığıyla işe alım temalı bir sosyal mühendislik saldırısının bir parçası olarak süreçte 11 kuruluşu başarıyla ihlal etti.
Google’a göre enfeksiyon zincirleri, kimlik bilgilerini çalmak veya kötü amaçlı yazılım dağıtmak ve üçüncü taraf tedarikçiler ve iş ortaklarıyla güvenilir ilişkilerden yararlanmak için tasarlanmış kimlik avı kampanyalarının bir kombinasyonunu içeriyor. İkinci yaklaşım, savunma yüklenicilerine saldırırken özellikle akıllıca bir stratejiye işaret ediyor.
Bu kuruluşlar sağlam savunmalara sahip olma eğilimindeyken, üçüncü taraf ortaklarda durum böyle olmayabilir; UNC1549, ana hedeflerine sızmak için öncelikle bağlantılı bir kuruluşa erişim sağlayarak tedarik zincirindeki zayıf bir halkayı kendi avantajına göre silah haline getirir.
Genellikle bu, başlangıçta bir dayanak noktası oluşturmak ve daha sonra temeldeki ana bilgisayar sistemine erişim kazanmak ve hedef ağ içinde yanal hareket etkinlikleri başlatmak için sanallaştırılmış oturumların sınırlarını aşmak amacıyla bu harici varlıklardan toplanan Citrix, VMWare ve Azure Sanal Masaüstü ve Uygulama (VDA) gibi hizmetlerle ilişkili kimlik bilgilerinin kötüye kullanılmasını gerektirir.
Bir başka ilk erişim yolu, alıcıları sahte bağlantılara tıklamaya ve makinelerine kötü amaçlı yazılım indirmeye teşvik etmek için iş fırsatlarıyla ilgili olduğunu iddia eden hedef odaklı kimlik avı e-postalarının kullanılmasıyla ilgilidir. UNC1549’un ayrıca, bu saldırılarda BT personelini ve yöneticileri hedef alarak, ağa daha derin erişim sağlayacak yükseltilmiş ayrıcalıklara sahip kimlik bilgilerini elde ettiği de gözlemlendi.
Saldırganlar içeri girmenin bir yolunu bulduktan sonra, istismar sonrası faaliyetler keşif, kimlik bilgileri toplama, yanal hareket, savunmadan kaçınma ve bilgi hırsızlığını, sistematik olarak ağ/BT belgelerini, fikri mülkiyeti ve e-postaları toplamayı kapsar.
Tehdit aktörünün bu çabanın bir parçası olarak kullandığı özel araçlardan bazıları aşağıda listelenmiştir:
- MİNİBİSİKLET (aka SlugResin), keşif yapmak, tuş vuruşlarını ve pano içeriğini günlüğe kaydetmek, Microsoft Outlook kimlik bilgilerini çalmak, Google Chrome, Brave ve Microsoft Edge’den web tarayıcısı verilerini toplamak ve ekran görüntüleri almak için sistem bilgilerini toplayan ve ek yükler getiren bilinen bir C++ arka kapısıdır.
- İKİ ZAMANLIsistem bilgisi toplamaya, DLL yüklemeye, dosya işlemeye ve kalıcılığa izin veren bir C++ arka kapısı
- DERİN KÖKkabuk komutlarının yürütülmesini, sistem bilgilerinin numaralandırılmasını ve dosya işlemlerini destekleyen Golang tabanlı bir Linux arka kapısıdır.
- HAFİF RAYLIbüyük olasılıkla Azure bulut altyapısını kullanarak iletişim kuran açık kaynaklı bir Socks4a proxy’si olan Lastenzug’u temel alan özel bir tünel oluşturucu
- HAYALET ÇİZGİiletişimi için sabit kodlanmış bir etki alanı kullanan Golang tabanlı bir Windows tünel oluşturucusu
- TOZ KARIŞIMIkendisini kaydetmek ve tünel oluşturucu yapılandırmasını indirmek için sabit kodlu komut ve kontrol (C2) sunucularını kullanan bir C++ Windows tünel oluşturucusu
- DCSYNCER.SLICKayrıcalık yükseltme amacıyla DCSync saldırıları gerçekleştirmek için DCSyncer’ı temel alan bir Windows yardımcı programı
- CRASHPADweb tarayıcılarında kaydedilen kimlik bilgilerini çıkarmaya yönelik bir C++ Windows yardımcı programı
- GÖRÜŞ KAYITdüzenli aralıklarla ekran görüntüleri yakalamak ve bunları diske kaydetmek için seçici olarak dağıtılan bir C Windows yardımcı programı
- GÜVENKullanıcıyı Microsoft hesabı kimlik bilgilerini girmesi için kandırmak amacıyla Windows istemi sunan bir kötü amaçlı yazılım
Ayrıca, saldırgan tarafından Active Directory’yi sorgulamak için AD Explorer gibi kamuya açık programlar da kullanılmaktadır; Uzaktan bağlantılar kurmak, keşif yapmak, kimlik bilgileri hırsızlığı ve kötü amaçlı yazılım dağıtımı gerçekleştirmek için Atelier Web Remote Commander (AWRC); ve uzaktan kumanda için SCCMVNC. Ayrıca tehdit aktörünün, RDP bağlantı geçmişi kayıt defteri anahtarlarını silerek soruşturmayı engellemek için adımlar attığı söyleniyor.
Mandiant, “UNC1549’un kampanyası, araştırmacıları önceden tahmin etmeye ve tespit sonrasında uzun vadeli kalıcılığı sağlamaya odaklanmasıyla öne çıkıyor.” dedi. “Aylarca sessizce işaret veren arka kapıları yerleştiriyorlar, ancak kurban yok etmeye çalıştıktan sonra yeniden erişim sağlamak için onları etkinleştiriyorlar.”
“Kapsamlı ters SSH kabukları (adli kanıtları sınırlayan) ve kurbanın endüstrisini stratejik olarak taklit eden etki alanlarını kullanarak gizliliği ve komuta ve kontrolü (C2) sürdürüyorlar.”