Redgolf Hacker’ları Fortinet sıfır gün istismarları ve siber saldırı araçlarına bağlı

   Nisan 21, 2025  Posted in GBHackers


Güvenlik araştırmacıları, kötü şöhretli Redgolf hackleme grubunu Fortinet güvenlik duvarı sıfır günlerini hedefleyen bir istismar dalgasına ve özel siber saldırı araçlarının konuşlandırılmasını bağladılar.

Redgolf operasyonlarının ayırt edici özelliği olan Key Plug kötü amaçlı yazılımına bağlı yanlış yapılandırılmış bir sunucunun maruz kalması, güvenlik analistlerine bu gelişmiş tehdit aktörünün iş akışlarına, takımlarına ve önceliklerine nadir, varnik olmayan bir görünüm verdi.

24 saatten daha kısa bir süre için aktif olan bir sunucu, kamuya açık internete kısaca maruz kaldığında olay ortaya çıktı.

– Reklamcılık –
Google Haberleri
İndirilen dosyaların snippet’i AractCapture ™ maruz kalan sunucudan.

Hunt.io’nun Saldırganlık ™ modülünden yararlanan güvenlik araştırmacıları, erişim kilitlenmeden önce sunucunun içeriğini dizine eklemeyi ve korumayı başardı.

Buldukları şey, birçoğu Fortinet cihazları ve kurumsal ağ keşfi ile doğrudan ilgisi olan siber saldırı senaryolarının ve operasyonel araçların sanal bir cephaneliğiydi.

Alınan dosyalar arasında uzmanlaşmış Fortinet güvenlik duvarı ve VPN istismar komut dosyaları, şifreli yükleri çalıştırabilen bir PHP tabanlı webshell ve shiseido olarak tanımlanan büyük bir Japon şirketine ait kimlik doğrulama ve geliştirme portallarını hedefleyen bir dizi ağ tarama ve filtreleme yardımcı programı vardı.

Aktör tarafından hedeflenen shiseido ile ilişkili alanların snippet’i.

Araçlar, devlete bağlı APT gruplarına özgü operasyonların kapsamlı planlamasını gösteren, sömürme sonrası eylemlere destek ve uzaktan oturum yönetimi içeriyordu.

Redgolf araç setini açma

Maruz kalan dosyaların analizi metodik bir yaklaşımı ortaya koymaktadır:

  • Keşif senaryoları: Gibi araçlar FSCA Ve Script.py içerik dağıtım ağları tarafından korunmayan büyük ölçekli tarama ve tespit altyapısı için kullanıldı, böylece yüksek değerli, doğrudan erişilebilir hedeflerin belirlenmesi.
  • Fortinet’e özgü sömürü: Özel Python komut dosyaları Fortinet SSL VPN portallarını hedefledi ve giriş arayüzü karma değerleri aracılığıyla kritik sürüm bilgilerini çıkardı. Bu veriler, keşfedilen cihazların bilinen sıfır gün güvenlik açıklarıyla eşleştirilmesine izin verdi (özellikle CVE-2024-23108 ve CVE-2024-23109).
  • WebSocket CLI saldırıları: Ek komut dosyaları, Fortinet’in kimliği doğrulanmamış WebSocket CLI uç noktaları aracılığıyla otomatik olarak sömürüldü ve saldırganların kimlik doğrulaması olmadan savunmasız sistemlerde ayrıcalıklı komutlar çalıştırmasını sağladı.
  • Sofistike Web Shell ve Ters Kabuk İmplantları: Kompakt bir PHP Web Shell (BX.PHP), adli tıp ve tespiti ciddi şekilde engelleyen, söz konusu şifre çözme ve saldırgan tarafından sağlanan yüklerin yürütülmesi yeteneğine sahipti. Ayrı bir PowerShell betiği, kalıcı uzaktan erişim için AES şifreli bir ters kabuk kurdu.
  • Oturum Kontrol İkili: Bir oturum denetleyicisi ve komut rölesi olarak işlev gören özel bir ELF ikili, tehlikeye atılmış ana bilgisayarların doğrudan yönetimi.

Bu araçları barındıran altyapı, özellikle Japonya ve Singapur’daki vultr barındıran sunuculara kadar izlenen IP adresleri, TLS sertifikası yeniden kullanımı ile Çin’in APT4’ü ile önemli örtüşen bir grup olan Redgolf’a bağlandı.

Script.py’den Python Kodunun Saldırı Yakalamasında Snippet

Redgolf daha önce küresel siber kampanyalardaki Keyplug kötü amaçlı yazılım çerçevesi kullanılarak gözlemlenmiştir.

Sunucunun keşif çıktısı, canlı hedef listeleri ve sıfır gün sömürüsü için otomatik takımların dahil edilmesi, koordineli, çok aşamalı saldırı planlamasının canlı bir resmini boyar.

Saldırganların altyapıyı hızlı bir şekilde sahne alma, başlatma ve daha sonra gizleme yeteneği, hem sofistike hem de savunucuların karşılaştığı zorlukların altını çiziyor.

Redgolf operasyonlarına yapılan bu geçici ama aydınlatıcı pencere, kurumsal güvenlik ekipleri için hayati dersler sunar:

  • Derhal yama: Kuruluşlar, özellikle Fortinet aletleri yürütenler, güvenlik güncellemelerinin derhal dağıtılmasını ve şüpheli erişim modelleri için sürekli izlemeyi sağlamalıdır.
  • Otomasyon için Monitör: VPN ve güvenlik duvarı uç noktalarının tekrarlanan problarını, özellikle tarayıcı kullanıcı aracılarını taklit eden veya belgesiz uç noktaları hedefleyenleri izleyin.
  • İnternet’e bakan varlıklar: Kimlik doğrulama portallarının kamuya maruz kalmasını sınırlayın ve mümkün olduğunca CDN veya WAF korumalarından yararlanın.

Siber rakipler sıfır günlerden yararlanmaya ve araç setlerini geliştirmeye devam ettikçe, sadece uyanık izleme ve hızlı tepki kampanyalarının etkisini köreltebilir.

Savunucular için, saldırgan operasyonlarına bu tür nadir görülen bakışlar paha biçilmezdir, bu da hem uzlaşma göstergelerini hem de modern siber casusluk makinelerine karşı kalıcı bir bakış açısı sağlar.

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!



Source link