Trend Micro yakın zamanda yayınlanan araştırmasında, Rusya’daki Midnight Blizzard tehdit grubunun devam eden siber casusluk kampanyasının kapsamı genel olarak varsayıldığından çok daha geniş olabileceğini ve hükümet, silahlı kuvvetler ve akademik kurumlardaki uluslararası kuruluşları hedef alabileceğini söyledi.
Ekim ayında zirveye ulaşan Trend Micro araştırmacıları, Earth Koshchei olarak takip ettikleri Midnight Blizzard’ın, kontrolü ele geçirmek için kötü amaçlı Uzak Masaüstü Protokolü (RDP) dosyası ve kırmızı takım test araçları içeren kimlik avı e-postalarıyla günde 200’e kadar varlığa saldırdığını gözlemledi. Kurban sistemlerini ele geçirebilir ve verileri çalabilir veya üzerlerine kötü amaçlı yazılım yerleştirebilirsiniz. Bu hacim kabaca benzer yeteneklere sahip diğer gruplarınkiyle aynı. Piyon Fırtınası — Trend Micro’nun bir açıklamasında, genellikle birden fazla haftayı hedeflediği belirtildi. bu hafta rapor ver.
Bu saldırılarda hedeflenen kurbanlar, kullanıldığında kurbanın sistemini uzaktaki saldırgan tarafından kontrol edilen bir sisteme yönlendirecek, kötü amaçlı veya hileli bir RDP yapılandırma dosyası içeren özel hedef odaklı kimlik avı e-postaları aldı. RDP yapılandırma dosyaları, uzak masaüstü bağlantılarını etkinleştirmek için hedef bilgisayarın adresi ve bağlantı tercihleri gibi ayarları depolayarak kurumsal sistemlere uzaktan erişimi basitleştirir ve otomatikleştirir.
Trend Micro, tehdit aktörünün, kurban sistemlerden gelen bağlantı isteklerini saldırganın kontrolündeki etki alanlarına ve sunuculara yönlendirmek için açık kaynaklı PyRDP aracını bir tür ortadaki rakip proxy olarak kullandığını tespit etti. Araştırmacılar, “Saldırı tekniğine ‘sahte RDP’ adı veriliyor ve bu teknik, bir RDP aktarımı, sahte bir RDP sunucusu ve kötü amaçlı bir RDP yapılandırma dosyası içeriyor.” dedi. “Bu tekniğin kurbanı, makinesinin kısmi kontrolünü saldırgana verecek ve potansiyel olarak veri sızıntısına ve kötü amaçlı yazılım kurulumuna yol açacaktır.”
Dikkatli Planlama
Ağustos ayında Midnight Blizzard, kurbanları saldırı zincirinin bir parçası olarak yönlendirecek 200’den fazla alan adını kurmaya başladı. Trend Micro ayrıca saldırganın genişleyen altyapısının bir parçası olarak 34 sahte RDP arka uç sunucusu kullandığını da gözlemledi.
Tehdit aktörünün kullandığı alan adları ABD, Avrupa, Japonya, Avustralya ve Ukrayna’daki hükümet ve askeri hedefleri akla getiriyor. Hedeflenen kurbanlar arasında dışişleri bakanlıkları, akademik araştırmacılar ve askeri kuruluşlar yer alıyordu. Trend Micro, “RDP kampanyasının ölçeğinin çok büyük olduğunu” tespit etti.
Midnight Blizzard, ABD hükümetinin Rusya’nın dış istihbarat servisi adına veya onun adına çalıştığını belirlediği bir siber casusluk grubudur. Grubun çok sayıda iyi bilinen ihlal olayıyla bağlantısı var. Microsoft, SolarRüzgarlar, HPEve birden fazla ABD federal hükümet kurumları. Kampanyaları genellikle hedef sistemlere ilk erişim elde etmek için karmaşık hedef odaklı kimlik avı e-postaları, çalınan kimlik bilgileri ve tedarik zinciri saldırılarını içerir. Ayrıca Pulse Secure Citrix, Zimbra ve Fortinet gibi satıcıların yaygın olarak kullanılan ağ oluşturma ve işbirliği araçlarındaki güvenlik açıklarını hedef aldığı da biliniyor.
Grup ayrıca, uç nokta güvenlik kontrollerinin tespitinden kaçınmak için yasal sızma testi ve kırmızı takım araçlarını kullanma konusunda da bir tutkuya sahip. Mevcut kampanyada. Midnight Blizzard’ın RDP ve PyRDP gibi meşru araçları kullanması, tehdit aktörünün güvenliği ihlal edilmiş ağlarda büyük ölçüde radar altında çalışmasına olanak tanıdı. Buna ek olarak, tehdit aktörleri, güvenliği ihlal edilmiş ağlarda gizlice çalışırken yerleşik proxy hizmetlerini, Tor’u ve VPN’leri anonimleştirme katmanları olarak kullanma eğilimindedir.
Trend Micro’ya göre, “Kurbanın makinelerine kendi başına herhangi bir kötü amaçlı yazılım yüklenmemiş. Bunun yerine, tehlikeli ayarlara sahip kötü amaçlı bir yapılandırma dosyası bu saldırıyı kolaylaştırıyor ve bu da onu, tespit edilmekten kaçması muhtemel, daha gizli bir arazide yaşama operasyonu haline getiriyor.” rapor.
Güvenlik satıcısı, giden RDP bağlantı isteklerini engellemeyen kuruluşların bunu hemen yapmaya başlamasını istiyor. Ayrıca e-postadaki RDP yapılandırma dosyalarının engellenmesini de önerirler.