Gamaredon (diğer adıyla Primitive Bear, ACTINIUM ve Shuckworm), yalnızca Ukrayna varlıklarını hedef alarak Rus casusluğunda öne çıkıyor. Alışılmadık derecede açık olan bu durum, Rus faaliyetlerine ilişkin kanıt arayan araştırmacılara meydan okuyor.
Ukrayna’nın SSU’su ile bağlantılı olan Rusya FSB’si bu gruba liderlik ediyor ve büyük bölgesel operasyonlar yürütüyor. Büyük kampanyalardan sonra casusluk için belirli verileri hedeflerler.
Erişimi sürdürmek için Gamaredon’un bir VBS USB solucanı olan LitterDrifter gibi araçları kullanıyorlar. Otomatik olarak yayılır ve çeşitli komut sunucularıyla iletişim kurarak hedefler arasında kalıcı kontrol sağlar.
Kendi kendine yayılan bir solucan olan LitterDrifter, Gamaredon’un USB Powershell solucan aktivitesiyle bağlantılı gelişmiş bir versiyon olarak görünüyor.
LitterDrifter Powershell
LitterDrifter sürücüler aracılığıyla yayılır ve Gamaredon’un altyapısına bir C2 kanalı kurar. Düzenleme bileşeni “trash.dll” aldatıcı bir şekilde adlandırılmıştır ve bu bir VBS dosyasıdır.
Trash.dll ile başlayarak, modüllerin kodunu çözer ve çalıştırır, böylece kurbanın sisteminde ilk kalıcılığı sağlar.
Aşağıda, başarılı bir şekilde yürütüldüğünde çalıştırılan iki modülden bahsettik: –
- Yayıcı modülü: Spreader modülü alt klasörler arasında tekrar tekrar dolaşarak çalışır. Bunu yaparken LNK adı verilen tuzak kısayollar oluşturarak “trash.dll” adlı dosyanın gizli kopyalarını oluşturur. WMI kullanarak kaldırılabilecek USB sürücülerini tanımlar ve MediaType’ları için boş değerlere sahip olup olmadıklarını kontrol eder. Tanımlanan her sürücü için, 2 derinliğe kadar alt klasörler arasında dolaşarak “createShortcutsInSubfolders” işlevini yürütür.
- C2 Modülü: Gamaredon’un C&C yöntemi, alan adlarının gerçek IP adresleri için yer tutucular olarak kullanılmasını içerir. Bir C2 sunucusuyla iletişime geçmeden önce komut dosyası, mevcut bir yapılandırma dosyası için %TEMP% dosyasını kontrol ederek önceki bulaşmayı doğrular. Eğer yoksa Gamaredon etki alanına ping gönderir, IP’yi çıkarır ve onu yeni bir yapılandırma dosyasına kaydeder. LitterDrifter, IP’yi aşağıdaki gibi bir URL biçimine dönüştürür: –
C2 iletişimi, makine bilgisine sahip özel bir kullanıcı aracısı kullanırken, bunun gibi bir kullanıcı aracısıyla sonuçlanır: –
LitterDrifter’ın karmaşık düzenleme bileşeni olan DEOBFUSCODER, dize tabanlı karakter değişimini kullanır ve 7 karışık işlev/değişken içerir.
Ayrıca, “Gizlemeyi Kaldırma” işlemi sırasında birkaç saniyeliğine gecikmeli yürütme işlevi çalıştırılır.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
Akışta planlanan gizleme, belirsiz isimler ve satır içi komut dosyaları kullanarak sıradan gözlemcileri aşağıdakileri yorumlamaya zorluyor: –
C2, yük veya Telegram yedeklemesi sağlayamadığında başarısızlık sayısı artar. Telegram kanal kimliği alınırsa kod akışına göre bir yedekleme dosyasına kaydedilir.
LitterDrifter, base64 içeriğini ortaya çıkaran C2 yükünün kodunu çözer. Bunun yanı sıra Gamaredon’un altyapısı REGRU-RU ve .ru TLD’ye kayıttaki kalıpları ortaya koyuyor.
Checkpoint raporuna göre, belirli alan adları LitterDrifter’a bağlanırken diğerleri çeşitli Gamaredon kümeleriyle ilişkilendirildi.
LitterDrifter, Gamaredon’un doğrudan yaklaşımıyla benzerlikler taşıyan nispeten basit bir kötü amaçlı yazılım gibi görünüyor. Ukrayna’da çeşitli faaliyetlerin yürütülmesinde oldukça verimli olduğu kanıtlanmıştır.
14 günlük ücretsiz deneme sürümünü deneyerek StorageGuard’ın depolama sistemlerinizdeki güvenlik kör noktalarını nasıl ortadan kaldırdığını deneyimleyin.