İsrailli varlıkları hedef almak için yama uygulanmamış Log4j sistemlerinden yararlanma söz konusu olduğunda, İran devlet destekli tehdit aktörleri, bu güvenlik açıklarından yararlanmak için hiçbir taş bırakmadan, bu güvenlik açığını düzeltmek için hala uzun bir kuyruk olduğunu gösteriyor.
En son faaliyetlerin arkasındaki grubun, bir şemsiye tehdit grubu olan MuddyWater olarak tanımlandığına inanılıyor. Örgütün İran’ın istihbarat aygıtı MOIS ile bağlantıları var.
Saldırıların ayırt edici bir yönü olarak, ilk saldırıda kullanılan SysAid Sunucusu örnekleri, Log4Shell güvenlik açığına karşı güvensiz kaldı. Bu bağlamda, aktörler, VMware uygulamalarından yararlanarak geleneksel hedef ortamlarından ödün verme modellerinden ayrıldılar.
Mercury, hedef kuruluşa erişim kazandıktan sonra, uygulamalı bir klavye saldırısı ayarlamak için hem özel hem de iyi bilinen bilgisayar korsanlığı araçlarını ve ayrıca entegre işletim sistemi araçlarını kullanır.
Kötü amaçlı yazılım kalıcılık sağlamaya başladığında, kimlik bilgilerini boşaltır ve hem özel hem de iyi bilinen bilgisayar korsanlığı araçlarını kullanarak kuruluş genelinde hareket eder.
Cıva Teknikleri ve Aletleri
Bunlar, Mercury tarafından kullanılan en yaygın tekniklerden bazılarıdır: –
- Posta kutusundaki düşman kimlik avı
- Bulut dosya paylaşım hizmetlerinin kullanımı
- Ticari uzaktan erişim uygulamalarının kullanımı
- Takım
- hedefleme
23 Temmuz ile 25 Temmuz 2022 arasındaki dönemde, Microsoft’un tehdit istihbarat ekibi yabancı kuruluşlar tarafından gerçekleştirilen bir dizi saldırıyı gözlemledi.
Keşif, çoğu komutun birincil işlevidir. Bu, tek bir kodlanmış PowerShell betiği aracılığıyla oyuncunun yanal hareket ve kalıcılık aracını indirerek yapılır.
Başarılı bir uzlaşmanın ardından, komutların web üzerinden yürütülmesine izin vermek için web kabuklarının konuşlandırıldığı söyleniyor. O zaman aktöre keşif, ısrar, kimlik hırsızlığı vb. sürecinde yardımcı olacak yanal bir hareket mümkün olacaktır.
Saldırılar sırasında C2 iletişimleri için eHorus adlı bir uzaktan izleme ve yönetim aracının yanı sıra, ters tünel iletişimi için düşmanların tercih ettiği Ligolo adlı bir ters tünel açma aracı da kullanılıyor.
Yürütülen Komutlar
Aşağıda, yürütülen komutlardan bahsettik: –
- cmd.exe /C
- cmd.exe /C powershell -exec bypass -w 1 -enc UwB….
- cmd.exe /C ana bilgisayar adı
- cmd.exe /C ipconfig /tümü
- cmd.exe /C net kullanıcısı
- cmd.exe /C net yerel grup yöneticileri
- cmd.exe /C net kullanıcı yöneticisi * /add
- cmd.exe /C net yerel grup Yöneticiler admin /add
- cmd.exe /C sorgusu
Öneri
Aşağıda, güvenlik uzmanları tarafından sağlanan tüm azaltıcı önlemlerden bahsettik:-
- Ağınızın SysAid kullanıp kullanmadığını kontrol etmek iyi bir fikir olacaktır.
- Log4j 2 güvenlik açığının nasıl önleneceği, tespit edileceği ve bu güvenlik açığının istismarının nasıl araştırılacağı konusunda rehberlik için lütfen ayrıntılı Rehber’e bakın.
- Dahil edilen tehlike göstergelerini kullanarak ortamınızı olası izinsiz girişlere karşı değerlendirin.
- Uzlaşma tablosunun göstergesinde listelenen IP adreslerinden gelen trafik engellenmelidir.
- Tek faktörlü kimlik doğrulama hesapları da dahil olmak üzere, uzaktan erişim altyapısı için orijinalliği doğrulayın ve anormal davranışları araştırın.
- MFA, olası kimlik bilgilerinin tehlikeye girmesini azaltır ve tüm uzak bağlantıların MFA’nın etkinleştirilmesini sağlar.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin