Güvenlik araştırmacıları yakın zamanda Suudi Arabistan’daki kar amacı gütmeyen İslami bir hayır kurumunu hedef alan gizli bir casusluk kampanyasını ortaya çıkardı.
Cisco Talos’taki araştırmacıların bildirdiğine göre, görünüşe göre Mart 2021’den bu yana aktif olan uzun vadeli kampanya, Zardoor adı verilen, daha önce bildirilmemiş özel bir arka kapıya dayanıyor. Kötü amaçlı yazılım, Cisco’nun tanımlamadığı kurban kuruluştan ayda yaklaşık iki kez veri sızdırıyor.
Araştırmacılar, değiştirilmiş ters proxy araçlarının kullanılması ve iki yıldan fazla bir süre boyunca tespit edilmekten kaçınma yeteneğinin, saldırının muhtemelen “ileri düzey” bir saldırganın işi olduğu anlamına geldiğini söylüyor.
Güvenlik araştırmacıları, Suudi Arabistan merkezli hayır kurumu dışında Zardoor kötü amaçlı yazılımının başka kurbanlarını henüz tespit edemedi.
APT’ler Ters Proxy’leri Seviyor
Zardoor’un ters proxy araçlarını kullanması birçok firmanın taktiğiyle örtüşüyor Çin gelişmiş kalıcı tehdit (APT) gruplarıCisco Talos’a göre, ancak “güvenliği ihlal edilen hedefin seçimi bilinen hedeflerle uyumlu değil” Çin casusluk grupları.
ReliaQuest Threat Research’ün kıdemli siber tehdit istihbarat analisti Chris Morgan, ters proxy araçlarını kullanan APT gruplarının genel olarak “nispeten yaygın” olduğunu söylüyor.
Rusya’nın Çin destekli APT29’u Volt Tayfunu grup, Kuzey Kore’nin Lazarus grubuve Phosphorus’un da aralarında bulunduğu çeşitli İran devleti destekli gruplar, ters vekalet araçları kullanan ulus-devlet grupları arasında yer alıyor.
Ters proxy’ler normalde karmaşık sistem ve uygulama mimarilerinde yük dengeleyici olarak kullanılır. Ancak kötü niyetli aktörler, RDP sunucuları, etki alanı denetleyicileri, dosyalar veya güvenliği ihlal edilmiş ağlardaki veritabanı sunucuları gibi normalde erişilemeyen sistemlerle iletişim kurmak için teknolojiyi kötüye kullanır.
AIPRM’nin kurucusu ve CEO’su Christoph Cemper, “Ters proxy’ler, güvenliği ihlal edilmiş bir ağdaki dahili sistemler ile düşman bir grup tarafından kontrol edilen harici sunucular arasında gizli iletişim kanallarının kurulmasına izin vererek işlev görür” diyor.
“Teknik düzeyde bu, saldırganın hem hedef ortamda bir ters proxy istemci bileşenini hem de uzaktan kontrol ettiği karşılık gelen bir sunucu arayüzünü konuşlandırmasıyla gerçekleştirilir” diye ekliyor. “Ağ trafiği daha sonra bu çok parçalı çift yönlü tünel üzerinden, nihai kaynağı ve hedefi gizleyecek şekilde yeniden yönlendiriliyor.”
Cemper, saldırganların sık sık bu proxy destekli bağlantıları normal Web veya İnternet etkinliği gibi gizlemek için iletişimleri HTTPS gibi ortak protokollerle ilişkili bağlantı noktaları üzerinden yönlendirmek ve yönlendirmeleri meşru alan adları veya IP adresleri içine yerleştirmek gibi adımlar attığını açıklıyor.
“Geniş çapta desteklenen standartların dahil edilmesi TLS şifreleme aynı zamanda iletilen verilerin içeriğini ve parametrelerini rutin inceleme veya tespitlerden de korur” diyor.
Tehdidi Önlemek
Cisco Talos’a göre teknik blog yazısıZardoor kampanyası henüz bilinmeyen bir saldırı vektörüyle başladı.
Saldırganlar daha sonra, Socks Linux sunucusunun özelleştirilmiş bir versiyonu olan Fast Reverse Proxy (FRP) ve güvenlik denetimlerini yürütmek için bir sızma testi aracı olan Venom gibi açık kaynaklı ters proxy araçlarını kullanarak saldırı için bir komuta ve kontrol mekanizması kurdu.
Saldırganlar, kurbanın ağına bir yer edindikten sonra yanal hareket etmek ve Zardoor kötü amaçlı yazılımını yerleştirmek için Windows Yönetim Araçları’nı (WMI) kullandı.
Zardoor, saldırganların komuta ve kontrol (C2) kurulumuyla iletişim kuran, güncellenmiş kötü amaçlı yazılım paketlerini dağıtma veya verileri sızdırma gibi komutlar vermelerine olanak tanıyan kalıcı bir arka kapı kurar. Kötü amaçlı yazılım, şifrelenmiş verileri yakalayıp saldırganların C2 altyapısına yükleyecek şekilde programlanmıştır.
“Zar32.dll” kötü amaçlı bir kütüphanedir ve Zardoor’un ana bileşenlerinden biridir. Meşru ağ uygulamalarını desteklemek için tasarlanmış bir HTTP/SSL uzaktan erişim aracıdır (RAT) ve bir Socks veya HTTPS proxy aracılığıyla çalışır. Kötü amaçlı yazılım, CloudFlare DNS hizmetleri tarafından kullanılan IP adreslerini kötüye kullanır.
Cisco, kurumsal güvenlik araçlarına Zardoor kötü amaçlı yazılım tespitini ekledi ve riske ilişkin belirtiler yayınladı; bu hamleler, satıcı topluluğunun geri kalanını da benzer tespit ve yanıt yetenekleri eklemeye teşvik edecek.
AIPRM’den Cemper, “Cisco’nun dışındaki güvenlik ürünlerini kullanan kuruluşların bile dayanıklılıklarını artırma seçenekleri var” diyor. “Güvenlik ekipleri özellikle yaygın olarak tanımlanan yeni kötü amaçlı yazılım tehditlerini ele almak için standart protokolleri izlemelidir: Tehdit araştırmacıları tarafından yayınlanan güvenlik ihlali göstergelerini gözden geçirmeli ve enfeksiyona işaret eden herhangi bir iz için sistemleri ve ağ etkinliği günlüklerini kontrol etmelidir.”
Ayrıca, kötü amaçlı yazılımdan koruma ve izinsiz giriş tespit ürünlerinin, kötü amaçlı yazılım için güncellenmiş imzalarla donatıldığından emin olmanızı tavsiye ediyor.