Bilinmeyen provenansa sahip tehdit aktörleri, Ocak 2025’ten beri ağırlıklı olarak Japonya’daki kuruluşları hedefleyen kötü niyetli bir kampanyaya atfedildi.
Cisco Talos araştırmacısı Chetan Raghuprasad, Perşembe günü yayınlanan teknik bir raporda, “Saldırgan, PHP’nin PHP CGI uygulamasında Windows üzerine PHP-CGI uygulamasında bir uzaktan kod yürütme (RCE) kusuru olan güvenlik açığı CVE-2024-4577’den yararlandı.” Dedi.
“Saldırgan, halka açık kobalt grev kiti ‘Taowu’ için post-soleiting faaliyetlerinin eklentilerini kullanıyor.”
Kötü niyetli etkinliğin hedefleri, Japonya’daki teknoloji, telekomünikasyon, eğlence, eğitim ve e-ticaret sektörleri genelindeki şirketleri kapsamaktadır.
Her şey, tehdit edilen uç noktaya kendilerine kalıcı bir uzaktan erişim sağlamak için Kobalt Strike Ters HTTP Shellcode yükünü yürütmek için ilk erişim elde etmek ve PowerShell komut dosyalarını çalıştırmak için CVE-2024-4577 güvenlik açığından yararlanan tehdit aktörleri ile başlar.
Bir sonraki adım, juicypotato, rottenpotato, sweetpotato, fscan ve emniyet kemeri gibi araçları kullanarak keşif, ayrıcalık artış ve yanal hareket gerçekleştirmeyi gerektirir. Taowu adı verilen Cobalt Strike kitinin eklentilerini kullanarak Windows kayıt defteri değişiklikleri, planlanan görevler ve ısmarlama hizmetler aracılığıyla ek kalıcılık kurulur.
RaghuPrasad, “Gizliliği korumak için, Wevtutil komutlarını kullanarak olay günlüklerini siler, eylemlerinin izlerini Windows güvenlik, sistem ve uygulama günlüklerinden kaldırırlar.” “Sonunda, parolaları ve NTLM karmalarını kurbanın makinesindeki bellekten dökmek ve dışarı atmak için Mimikatz komutlarını yürütüyorlar.”
Saldırılar, enfekte olmuş ana bilgisayarlardan şifreler ve NTLM karmalar çalan hack mürettebatı ile sonuçlanıyor. Kobalt grev aracı ile ilişkili komut ve kontrol (C2) sunucularının daha fazla analizi, tehdit oyuncusunun internet üzerinden erişilebilir dizin listelerini bıraktığını ve böylece Alibaba bulut sunucularında barındırılan rakip araç ve çerçevelerin tam paketini ortaya çıkardığını ortaya koydu.
Araçlar arasında dikkate değer aşağıda listelenmiştir –
- Tarayıcı bağlamında komutları yürütmek için halka açık bir pentest yazılımı olan tarayıcı sömürü çerçevesi (sığır eti)
- Viper C2, uzaktan komut yürütmeyi ve metrepreter ters kabuk yüklerinin üretilmesini kolaylaştıran modüler bir C2 çerçevesi
- Blue-lotus, JavaScript Siteler Arası Komut Dosyası (XSS) Saldırı Çerçevesi, XSS saldırıları yürütmek, ekran görüntülerini yakalamak, Ters Kabuk almak ve İçerik Yönetim Sisteminde (CMS) yeni hesaplar oluşturmak için JavaScript Web Kabuğu yüklerinin oluşturulmasını sağlayan saldırı çerçevesi
Raghuprasad, “Saldırganın nedeninin, kalıcılık oluşturmak, sistem seviyesi ayrıcalığına yükselme ve gelecekteki saldırılar olasılığını gösteren olumsuzluk çerçevelerine potansiyel erişim gibi diğer sömürme sonrası faaliyetleri gözlemlememize dayanarak, sadece kimlik bilgisi hasatının ötesine geçtiğini değerlendiriyoruz.” Dedi.