Son zamanlarda, QuoIntelligence’ın araştırma ekibi kötü şöhretli WIREFIRE web kabuğunun daha önce tespit edilmemiş bir çeşidini ortaya çıkardı; bu, güvenliği ihlal edilmiş Ivanti Connect Secure (ICS) VPN cihazlarını hedef alan Python tabanlı bir implanttı.
Bu keşif, tehdit aktörlerinin tespitten kaçmak ve kötü niyetli erişimlerini genişletmek için kullandıkları kurnaz bir taktiği ortaya çıkarıyor.
Hikaye, güvenlik araştırmacılarının Ivanti Connect Secure VPN cihazlarındaki sıfır gün güvenlik açıklarından yararlanan küresel bir saldırı kampanyası tespit ettiği Aralık 2023’te ortaya çıkıyor.
UNC5221 tehdit aktörü grubuna atfedilen bu kampanya, web kabuklarının hem dahili hem de harici web uygulamalarına konuşlandırılmasını içeriyordu ve saldırganlara yetkisiz erişim ve kontrol sağlıyordu.
HERHANGİ BİR ÇALIŞTIRMA Sandbox’ındaki Şüpheli Dosyaları ve Bağlantıları Güvenle Açın; Tüm Özellikleri Ücretsiz Deneyin. Kötü amaçlı yazılım davranışını anlayın, IOC’leri toplayın ve kötü amaçlı eylemleri TTP’lerle kolayca eşleştirin; tüm bunları etkileşimli sanal alanımızda yapın.
Ücretsiz deneme
Yeni Bir Kılığa Sahip Tanıdık Düşman: WIREFIRE Varyantı
QuoIntelligence araştırmacıları bu olayı araştırırken bulmacanın çok önemli bir parçasına rastladılar: WIREFIRE web kabuğunun daha önce bildirilmemiş bir çeşidi.
“/api/resources/visits.py” dosyasında bulunan bilinen benzerinden farklı olarak, bu varyant “/api/resources/category.py” dosyasında bulunuyordu ve mevcut tespit mekanizmalarını atlatmak için stratejik bir konum değişikliğini sergiliyordu.
Kaputun Altında: Variant’ın Yeteneklerini İncelemek
Bu varyant, biraz farklı olmasına rağmen, selefinin temel işlevselliğini korudu.
Şifrelenmiş veri yükleri içeren POST isteklerini yakaladı, bunların şifresini çözdü ve bunları doğrudan bellekte yürüterek dosya sisteminde suçlayıcı hiçbir iz bırakmadı.
Ancak iki önemli değişiklik getirdi:
- Çerez Tabanlı Yük Teslimatı: Bu varyant, orijinal sürümde kullanılan GIF dosya yönteminden uzaklaşarak, şifrelenmiş yükleri iletmek için çerez tabanlı bir yaklaşım benimsemiştir.
- exec() Aracılığıyla Kalıcı Yürütme: “exec()” işlevinden yararlanan yeni bir kod eklemesi, ardışık POST isteklerinde kötü amaçlı kodların yürütülmesine olanak tanıdı ve potansiyel olarak veri kalıcılığını kolaylaştırdı.
Bu varyantın keşfi, mevcut tespit yöntemlerinde kritik bir sınırlamayı ortaya çıkardı.
WIREFIRE web kabuğunu tanımlamak için tasarlanan Mandiant tarafından sağlanan YARA kuralı, varyantın farklı konumu nedeniyle etkisiz hale getirildi.
Bu, tehdit aktörlerinin belirli dosya yollarına dayalı tespitlerden kaçınmak için değiştirilmiş sürümleri çeşitli konumlara dağıtma yönündeki kurnaz stratejisini vurguluyor.
Güvenlik Avukatı David Miller: “Bu olay, güvenlik açıklarının derhal kapatılmasının öneminin altını çiziyor.
İstismar edilen sıfır gün güvenlik açıklarına Şubat 2024’te yama uygulandı, ancak saldırganlar hâlâ yama uygulanmamış sistemlerden yararlanmaya devam ediyor. Kuruluşların güvenlik açığı yönetimine öncelik vermesi gerekiyor.”
Tehdide Yanıt: Yeni Bir YARA Kuralı Ortaya Çıkıyor
QuoIntelligence araştırmacıları, algılamadaki bu boşluğu gidermek için derhal daha geniş kapsamlı, geçici bir YARA kuralı geliştirdi.
Bu kural, “/api/resources/” dizini içindeki farklı web kabuğu konumlarındaki ortak noktalara odaklanır ve hem orijinali hem de varyantı etkili bir şekilde tanımlar.
Bu WIREFIRE varyantının ortaya çıkışı, siber tehditlerin dinamik doğasını ve sürekli tetikte olmanın önemini vurgulamaktadır.
Ivanti Connect Secure VPN cihazlarını kullanan kuruluşların şunları yapması tavsiye edilir:
- Algılama yeteneklerini geliştirmek için yeni YARA kuralını uygulayın.
- Sistemleri düzenli olarak güncelleyin ve güvenlik açıklarını düzeltin.
- Güçlü güvenlik çözümlerinden ve tehdit istihbaratı beslemelerinden yararlanın.
- Gelişen siber tehditlere ilişkin artan farkındalığı sürdürün.