Bir yıldan fazla bir süredir Asya/Pasifik bölgesindeki e-ticaret siteleri ve satış noktası hizmet sağlayıcılarından kredi kartı numaralarını tarayan, Çince konuşan bir tehdit aktörü, Kuzey ve Latin Amerika’da da benzer hedefleri hedeflemeye başladı.
En az Mayıs 2023’ten bu yana düzenlenen bir dizi saldırıda, saldırgan, birden fazla endüstri sektöründeki kuruluşlara ait sitelere erişim sağlamak için Çin’deki Hafnium grubunun siber casusluk kampanyalarında kullandığı bir güvenlik açığı da dahil olmak üzere Web uygulamalarındaki güvenlik açıklarından yararlandı. Bu saldırılardaki temel amaç, bu sitelerdeki ödeme sayfalarına erişim sağlamak ve internetten alışveriş yapan kişilerin kart numaralarını çalmak için kötü amaçlı yazılımları bırakmaktır.
Sessiz Skimmer Kampanyası
BlackBerry’den araştırmacılar kampanyayı keşfettiler ve onu “Sessiz Skimmer” olarak takip ediyorlar. Bu hafta yayınladıkları bir blog yazısında, kampanyanın teknik açıdan karmaşık olduğunu ve gelişmiş ya da deneyimli bir tehdit aktörünün de dahil olabileceği bir kampanya olduğunu belirttiler.
Kart tarama saldırıları kesinlikle yeni değil. Araştırmacıların yıllardır Magecart olarak takip ettiği gevşek bir bilgisayar korsanlığı grupları koleksiyonu, aslında dünya çapında yüz milyonlarca çevrimiçi alışveriş yapan kişiye ait ödeme kartı verilerini başarıyla çalıyor. Bu saldırıların çoğunda, tehdit aktörleri üçüncü taraf yazılım bileşenlerindeki ve eklentilerdeki (sayfa görüntüleme sayaçları ve ziyaretçi izleme widget’ları gibi) güvenlik açıklarını hedef aldı ve bunlara kart gözden geçirme kodu enjekte etti.
Son yıllarda aralarında British Airways, Ticketmaster, Newegg ve çok sayıda başka firmanın da bulunduğu yüz binlerce e-ticaret sitesi Magecart saldırılarının kurbanı oldu.
Sessiz Skimmer kampanyasının operatörü, web sitelerine ilk erişimi sağlamak için Web’e yönelik uygulamalardaki güvenlik açıklarından fırsatçı bir şekilde yararlanıyor. Tehdit aktörünün saldırdığı sitelerin çoğu, Microsoft’un Internet Information Services (IIS) Web sunucusu yazılımında barındırılıyordu. Tehdit aktörünün kampanyasında istismar ettiği güvenlik açıklarından biri, Progress Software’in bileşenleri ve Web geliştirme araçlarından oluşan bir paket olan Telerik UI’daki kritik bir uzaktan kod yürütme hatası olan CVE-2019-18935’tir. Hatayı kampanyalarında kullanan gruplar arasında Çin’in Hafnium grubu ve Vietnam’ın XE Grubu da var.
Hedef Web hizmetinin yazma izinleri etkinse, istismar, kötü amaçlı bir dinamik bağlantı kitaplığını (DLL) bu hizmetteki belirli bir dizine yükler. DLL daha sonra web sitesine yüklenen kredi ve banka kartı verilerini gözden geçirmek için kötü amaçlı yazılımlarla sonuçlanan bir dizi adımı başlatır.
Teknik Açıdan Karmaşık Kampanya
BlackBerry araştırmacıları, tehdit aktörünün ayrıcalık yükseltme için birden fazla ayrı aracın yanı sıra uzaktan erişim aracı, uzaktan kod yürütme istismarı, kötü amaçlı yazılım hazırlama/indirme aracı ve istismar sonrası faaliyetler için bir araç kullandığını gözlemledi. Günümüzde kötü amaçlı yazılım kampanyalarında sıklıkla olduğu gibi, Silent Skimmer’ın operatörü, saldırılarının çoğunda çok sayıda meşru açık kaynaklı araç, ikili program ve komut dosyasına güvendi.
Silent Skimmer’ın arkasındaki tehdit aktörünün teknik açıdan yetenekli olduğunun bir göstergesi, komuta ve kontrol (C2) altyapısını kurbanların coğrafi konumuna göre nasıl yeniden ayarladığıdır. Tehdit aktörü, kampanya için yeni ele geçirilen hedefler için C2 sunucuları olarak genellikle Microsoft’un Azure platformunda bulunan sanal özel sunucuları (VPS) kullandı. Her C2 sunucusu genellikle bir haftadan daha kısa bir süre çevrimiçi kalır ve genellikle kurbanla aynı bölgede veya ülkede bulunur. Örneğin BlackBerry, Kanadalı kurbanlar için tehdit aktörünün Kanada’da bir VPS kurduğunu, ABD’li kurbanlar için ise VPS sunucularının genellikle kurbanla aynı durumda olduğunu tespit etti.
BlackBerry, taktiğin ardındaki amacın ele geçirilen sunuculara giden ve sunuculardan gelen trafiğin normal trafikle karışmasını sağlamak olduğunu söyledi.