Rusya devlet destekli hackleme grubundaki bir alt grup olarak bilinen bir alt grup Kum kurdu dünya çapında uzanan Badpilot olarak adlandırılan çok yıllı bir başlangıç erişim operasyonuna atfedilmiştir.
Microsoft Tehdit İstihbarat Ekibi, yayınlanmadan önce Hacker News ile paylaşılan yeni bir raporda, “Bu alt grup, Seasshell Blizzard’ın yüksek değerli hedeflere devam etmesini ve özel ağ operasyonlarını desteklemesini sağlamak için küresel olarak çeşitli uzlaşmalar gerçekleştirdi.” Dedi.
İlk erişim alt grubunun hedeflerinin coğrafi yayılımı, Kuzey Amerika’nın tamamını, Avrupa’daki çeşitli ülkeleri ve Angola, Arjantin, Avustralya, Çin, Mısır, Hindistan, Kazakistan, Myanmar, Nijerya, Pakistan, Türkiye ve Özbekistan.
Geliştirme, Hacking Group’un son üç yılda Victimoloji Ayak İzinin önemli bir genişlemesini işaret ediyor, bu da Doğu Avrupa çevresinde yoğunlaştığı biliniyor –
- 2022: Ukrayna’da enerji, perakende, eğitim, danışmanlık ve tarım sektörleri
- 2023: Ukrayna’daki savaşa maddi destek sağlayan veya jeopolitik olarak önemli olan Amerika Birleşik Devletleri, Avrupa, Orta Asya ve Orta Doğu’daki sektörler
- 2024: Amerika Birleşik Devletleri, Kanada, Avustralya ve Birleşik Krallık’taki varlıklar
Sandworm, Microsoft’un Moniker Seasshell Blizzard (eski Iridyum) altındaki ve APT44, Mavi Echidna, Donenbarents, Gri Tornado, Demir Viking, Razing Ursa, Razing Ursa, Telebots, UAC-0002 ve Vuoodoo Bear adları altında daha geniş siber güvenlik topluluğu tarafından izlenir. En az 2013’ten bu yana aktif olan grubun, Rusya Federasyonu Silahlı Kuvvetleri Genel Müdürlüğü (GRU) içinde 74455 ünitesine bağlı olduğu değerlendirilmektedir.
Düşmanca kolektif, Google’a ait Mantian tarafından casusluk, saldırı ve etki operasyonlarına katılan “son derece uyarlanabilir” ve “operasyonel olarak olgun” tehdit aktörü olarak tanımlanmıştır. Ayrıca, son on yılda Ukrayna’ya karşı yıkıcı ve yıkıcı saldırılarla ilgili bir geçmişe sahiptir.
Rus-Ukrayna savaşının ardından kum kurdu tarafından monte edilen kampanyalar, tehdit eylemlerinin korunmasına izin veren kötü amaçlı ailelere ek olarak, veri silecekleri (Killdisk, aka hermetikwiper), sözde ransom yazılımları (prestige aka prestea) ve backdoors (kapeka) kullandı. DarkCrystal Rat (diğer adıyla DCRAT) aracılığıyla enfekte konakçılara kalıcı uzaktan erişim.
Ayrıca, hücum yeteneklerini kaynaklamak ve sürdürmek için çeşitli Rus şirketlerine ve suç pazarlarına dayanarak, devlet destekli hacklemeyi kolaylaştıran siber suçların giderek artan bir eğilimini vurguladı.
Google Tehdit İstihbarat Grubu (GTIG) bir analizde, “Grup cezai kaynaklı araçlar ve altyapı, geçmiş operasyonlarına anında bağlantılar olmadan kısa sürede faaliyet gösterebilen tek kullanımlık yetenekler kaynağı olarak kullandı.” Dedi.
“Rusya’nın tam ölçekli Ukrayna istilası olduğundan, APT44, DarkCrystal Sıçan (DCRAT), Warzone ve Radthief (‘Rhadamanthys Stealer’) gibi kötü amaçlı yazılımlar dahil olmak üzere bu tür araçlar kullanımını artırdı ve Siber suçlu yeraltı topluluklarında reklam veren Rusça konuşan aktör ‘Yalishanda’.
Microsoft, Sandworm alt grubunun en azından 2021’in sonlarından beri faaliyete geçtiğini ve ilk erişimi elde etmek için bilinen çeşitli güvenlik kusurlarından yararlandığını, ardından kimlik bilgilerini toplamayı, komut yürütmeyi sağlamayı ve yanal hareketi desteklemeyi amaçlayan bir dizi sömürme sonrası eylemi izlediğini söyledi.
Teknik dev, “İlk erişimin ardından gözlemlenen operasyonlar, bu kampanyanın Seasshell Blizzard’ın enerji, petrol ve gaz, telekomünikasyon, nakliye, silah üretimi de dahil olmak üzere uluslararası hükümetlere ek olarak küresel hedeflere erişim elde etmesini sağladığını gösteriyor.”
Diyerek şöyle devam etti: “Bu alt grup, Seasshell Blizzard’ın çok çeşitli coğrafi bölgelerde ve sektörlerde çok sayıda internete bakan sistemi keşfetmesine ve tehlikeye atmasına izin veren yayınlanmış istismarlar tarafından desteklenen yatay olarak ölçeklenebilir bir yetenekle etkinleştirildi.”
Geçen yılın başlarından beri, alt kümenin Birleşik Krallık ve Amerika Birleşik Devletleri’ndeki hedeflere sızmak için Connectwise Screenconnect’te (CVE-2024-1709) ve Fortinet Forticlient EMS’de (CVE-2023-48788) silahlandırılmış güvenlik açıkları olduğu söyleniyor.
Alt grup tarafından yürütülen saldırılar, hem fırsatçı “sprey hem de dua” saldırılarının bir kombinasyonunu içerir.
Geniş uzlaşma dizisinin, Seasshell Blizzard’a Kremlin’in sürekli gelişen stratejik hedeflerini karşılamanın bir yolunu sunduğuna ve yeni istismarlar açıklandığı için hack kıyafetinin farklı sektörler arasındaki operasyonlarını yatay olarak ölçeklendirmesine izin verdiğine inanılıyor.
Bugüne kadar alt grup tarafından bilinen sekiz farklı güvenlik açığı kullanılmıştır,
Üç farklı yöntemle kalıcılık kuran tehdit oyuncusu tarafından başarılı bir taban yerine geçti –
- 24 Şubat 2024 – Bugün: Atera Agent ve Splashtop Uzaktan Hizmetler gibi meşru uzaktan erişim yazılımlarının dağıtılması, bazı durumlarda, kimlik bilgisi edinimi, veri eksfiltrasyonu ve openssh gibi erişimi korumak için diğer araçlar ve tehlikeye giren bir yardımcı programı korumak için diğer araçları kötüye kullanan, Tor anonimlik ağı üzerinden erişilebilecek sistem
- 2021’in sonu – bugün: Localolive adlı bir web kabuğunun, komut ve kontrol sağlayan ve tünel oluşturma yardımcı programları (örn., Kesme, Plink ve Rsockstun) gibi daha fazla yük için bir kanal görevi gören dağıtılması
- 2021 – 2024’ün sonları: Outlook web erişiminde (OWA) kötü niyetli değişiklikler, kimlik bilgilerini gerçek zamanlı olarak tehdit oyuncusuna hasat edebilen ve söndürebilen JavaScript kodu enjekte etmek ve kritik kimlik doğrulamadan kimlik bilgilerini kesme çabasında muhtemel DNS A-Record konfigürasyonlarını enjekte edebilen JavaScript kodu enjekte etmek için kötü niyetli değişiklikler hizmet
Microsoft, “Daha geniş deniz kabuklu Blizzard organizasyonunda Global erişimi ile karakterize edilen bu alt grup, hem Seasshell Blizzard tarafından yürütülen coğrafi hedeflemede hem de operasyonlarının kapsamında bir genişlemeyi temsil ediyor.” Dedi.
“Aynı zamanda, Seasshell Blizzard’ın geniş kapsamlı, fırsatçı erişim yöntemleri, Rusya’ya orta vadede değerli olmaya devam edecek niş operasyonlar ve faaliyetler için geniş fırsatlar sunuyor.”
Geliştirme, Hollandalı siber güvenlik şirketi Eclecticiq, Sandworm grubunu korsan Microsoft Anahtar Yönetim Hizmeti (KMS) aktivatörlerini ve sahte Windows güncellemelerini, bir almak ve yürütmekten sorumlu bir GO tabanlı indirici olan Backorder’ın yeni bir sürümünü sunmak için başka bir kampanyaya bağlamasıyla geliyor. Uzak bir sunucudan ikinci aşama yük.
Maniant’a göre geri sipariş genellikle truva atlama yükleyici dosyaları içinde teslim edilir ve orijinal kurulum yürütülebilir dosyasını yürütmek için sabit kodlanmıştır. Kampanyanın nihai amacı Darkcrystal Rat’ı teslim etmektir.
Güvenlik araştırmacısı Arda Buykaya, “Ukrayna’nın devlet kurumları da dahil olmak üzere çatlak yazılıma olan ağır güvenmesi, büyük bir saldırı yüzeyi yaratıyor.” Dedi. “İşletmeler ve kritik varlıklar da dahil olmak üzere birçok kullanıcı, güvenilmeyen kaynaklardan korsan yazılımlara yöneldi ve Sandworm (APT44) gibi rakiplere kötü amaçlı yazılımları yaygın olarak kullanılan programlara yerleştirmek için birinci sınıf bir fırsat sağladı.”
Daha fazla altyapı analizi, bir Windows güncellemesi olarak gizlenmiş ve komut ve kontrol için TOR ağını kullanan daha önce belgelenmemiş bir RDP arka kapı kodlu Kalambur’u ortaya çıkardı ve ayrıca openssh’i dağıtmak ve uzak masaüstü protokol (RDP) aracılığıyla uzaktan erişimi etkinleştirmek için. 3389 numaralı bağlantı noktasında.
Buykaya, “Sandworm (APT44), ICS ortamlarına sızmak için truva yazılımı kullanarak Ukrayna’nın Rus jeopolitik hırslarını destekleyen kritik altyapısını istikrarsızlaştırma stratejik hedefini göstermeye devam ediyor.” Dedi.