Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
Bilgisayar Korsanları Bir PAN-OS Kusurunun Açıklanmasından Günler Sonra Hedef Aldı
Akşaya Asokan (asokan_akshaya) •
30 Aralık 2024
Çin’deki şüpheli bir bilgisayar korsanlığı kampanyası, casusluk amacıyla özel kötü amaçlı yazılım arka kapısı yüklemek için Palo Alto güvenlik duvarlarındaki bir güvenlik açığından yararlanıyor.
Ayrıca bakınız: Corelight’tan Brian Dye, NDR’nin Fidye Yazılımını Yenmedeki Rolü hakkında konuşuyor
Siber güvenlik firması Northwave’den araştırmacılar, isimsiz kötü amaçlı yazılım arka kapısının Littlelamb.Wooltea’nın bir çeşidi olduğunu söyledi. Kötü amaçlı yazılım daha önce UNC5325 olarak takip edilen Çinli bir bilgisayar korsanlığı grubuyla bağlantılıydı.
Northwave, bu kampanyanın Kasım ayında, Palo Alto’nun CVE-2024-9474 olarak takip edilen ve PAN-OS yazılımını etkileyen orta şiddette bir ayrıcalık yükseltme kusurunu açıklamasından kısa bir süre sonra başladığını söyledi. Bu kusur, tehdit aktörlerinin güvenlik duvarında kök ayrıcalıklarıyla eylemler yürütmesine olanak tanıyor.
Bilgisayar korsanları, adlı bir dosyayı indirmek için bu kusurdan yararlandı. bwmupdateolarak gizlenen kötü amaçlı yazılım arka kapısını yükleyen logd dosya. Northwave araştırmacıları, varyantın temel işlevleri kolaylaştıran 30 komutla donatıldığını ve gelişmiş gizlilik yetenekleriyle birlikte geldiğini söyledi.
Kötü amaçlı yazılım yetenekleri arasında dosya okuma ve yazma, giden bağlantıları dinleyen bir ağ tüneli oluşturma, kabuk bağlantılarını kolaylaştırma ve birden fazla dinleme bağlantı noktasını koordine etmek ve giden bağlantıları izlemek için bir SOCKS5 proxy ayarlama yer alıyor.
Kötü amaçlı yazılım, ağ bağlantılarını yönetmek için birden fazla düğüm kullanır. Bunu, ağ anlaşmaları oluşturmak, kayıp bağlantıları takip etmek ve düğümleri dinlemek için mesajlar göndererek başarır. Güvenlik firması Darktrace’in bu ayın başlarında yayınladığı bir rapora göre, kötü amaçlı yazılım arka kapısına ek olarak, bu güvenlik açığından yararlanan tehdit aktörleri, harici sunuculardan veya depolardan içerik almak için ek yükler de kullandı.
Kasım ayında Palo Alto, bilgisayar korsanlarının CVE-2024-9474’e ek olarak CVE-2024-0012 olarak takip edilen başka bir PAN-OS güvenlik açığından da yararlandığını söyledi. Şirket iki kusuru da kapattı.
Sistem yöneticilerine web yönetim portalına erişimi yalnızca güvenilir IP adresleriyle kısıtlamaları önerildi. Palo Alto, saldırıların yalnızca “az sayıda PAN-OS cihazını” etkilediğini, ancak araştırmacıların bu sayının binlerce olduğunu tahmin ettiğini ekledi.
Uç Cihazları Hedefleyen Çin Kampanyası
Mandiant’ın Şubat ayında grubun Çin bağlantılı bir tehdit aktörü olduğunu belirtmesiyle UNC5325 ile ilgili ayrıntılar yetersiz kalıyor. Grup, bir arka kapı yüklemek için sıfır gün Ivanti Connect Secure VPN güvenlik açığından yararlanan benzer bir hackleme kampanyasının arkasındaydı.
Güvenlik firması Fortinet tarafından hazırlanan benzer bir raporda, Fortinet güvenlik duvarlarından iki gün boyunca yararlanan şüpheli bir Çin kampanyası da ortaya çıkarıldı.
UNC5325 etkinliği, Çin’in uç cihazları hedef alan bilgisayar korsanlığı stratejisiyle uyumludur. UNC3886 ve UNC4841, benzer taktikler uygulayan diğer Çin bağlantılı aktörler arasında yer alıyor (bkz: Eyalet Bilgisayar Korsanlarının Yeni Sınırı: Ağ Uç Cihazları).