“Badpilot” olarak adlandırılan yeni ortaya çıkan siber kampanya, Sandworm olarak da bilinen Rus devlet destekli hack kolektif Seasshell Blizzard’ın bir alt grubuna bağlandı.
En az 2021’den beri aktif olan bu operasyon, Rusya’nın siber faaliyetlerinde küresel olarak kritik altyapıyı hedefleyen önemli bir genişlemeyi temsil ediyor.
Microsoft Tehdit İstihbaratı’na göre, kampanya uzun vadeli kalıcılık oluşturmak ve özel ağ işlemlerini sağlamak için internete dönük sistemlerden ödün vermeye odaklanıyor.
Badpilot alt grubu, enerji, petrol ve gaz, telekomünikasyon, nakliye, silah üretimi ve devlet kuruluşları gibi yüksek değerli sektörlere sızmak için hem fırsatçı hem de hedefli teknikler kullanır.
Kampanya, Microsoft Exchange (CVE-2021-34473), Zimbra İşbirliği (CVE-2022-41352), Connectwise Screenconnect (CVE-2024-1709) ve Fortinet-2023 (CVE-2023) dahil olmak üzere yaygın olarak kullanılan yazılım sistemlerinde güvenlik açıklarından yararlandı. -48788).
Bu kusurların sömürülmesi, grubun operasyonlarını Kuzey Amerika, Avrupa, Orta Asya ve Orta Doğu da dahil olmak üzere çeşitli bölgelerde yatay olarak ölçeklendirmesine izin verdi.
Kalıcılık ve yanal hareket
Badpilot kampanyası, tehlikeye atılan ağlarda kalıcılığı korumak için bir dizi sofistike taktik kullanıyor.
Bunlar arasında, komut ve kontrol (C2) işlevleri için Atera Agent ve Splashtop Uzaktan Hizmetleri gibi uzaktan yönetimin ve izleme (RMM) araçlarının dağıtılmasını içerir.
Bu tür araçlar meşru yazılımı taklit ederek, kimlik bilgisi hırsızlığı, veri açığa çıkma ve yanal hareket yürütürken saldırganların tespit edilmemelerini sağlar.
Bazı durumlarda, alt grup, Tor Gizli Hizmetleri tehlikeye atılan sistemlere gizli erişim için kullanan ısmarlama bir yardımcı program olan Shadowlink’i uyguladı.
Ayrıca, grup komut yürütme ve ikincil yük dağıtım için localolive gibi web mermileri kullanır.
Bu araçlar, Chisel ve Rsockstun gibi tünel oluşturma yardımcı programlarını etkinleştirerek daha fazla ağ uzlaşmasını kolaylaştırır.
Bir başka dikkate değer taktik, Outlook Web Erişim Portallarının kötü amaçlı JavaScript ile gerçek zamanlı olarak hasat etmek için değiştirilmesini içerir.
Bu yaklaşım, alt grubun ölçeklenebilir ancak gizli müdahaleler için internete dönük altyapıyı kullanma odağının altını çizmektedir.
Gelişen jeopolitik hedefler
Başlangıçta Ukrayna ve Doğu Avrupa üzerinde yoğunlaşan Badpilot’un kapsamı 2022’den bu yana önemli ölçüde genişledi.
Kampanya şimdi Amerika Birleşik Devletleri, İngiltere, Kanada ve Avustralya’daki varlıkları hedefliyor.
Analistler, bu değişimin Rusya’nın devam eden askeri çatışmaların ortasında gelişen jeopolitik önceliklerini yansıttığını öne sürüyor.
Alt grubun fırsatçı “püskürtme ve yazım” yaklaşımı, daha sonra stratejik hedefleri karşılayacak şekilde uyarlanabilecek yaygın uzlaşmalar sağlar.
Seashell Blizzard’ın operasyonları, casusluk, bilgi operasyonları ve yıkıcı siber saldırılarla Rus askeri zeka hedeflerini tarihsel olarak destekledi.
Badpilot kampanyası, gelecekteki kesintiler veya istihbarat toplama için yararlanabilecek kritik sektörlere kalıcı erişim sağlayarak bu eğilimi sürdürüyor.
Kuruluşlar, Badpilot tarafından kullanılan bilinen güvenlik açıkları için yama yönetimine öncelik vermeleri istenir.
Çok faktörlü kimlik doğrulama (MFA) uygulanması, RMM araç kullanımının izlenmesi ve gelişmiş tehdit algılama sistemlerinin kullanılması, bu kampanyayla ilişkili riskleri azaltmaya yardımcı olabilir.
Uç nokta tespiti ve yanıt çözümleri yoluyla yanal harekete karşı ağ savunmalarının güçlendirilmesi de kritiktir.
Seasshell Blizzard, küresel siber operasyonlar için taktiklerini geliştirmeye devam ettikçe, bu devlet destekli tehditlere karşı kritik altyapıyı korumak için uyanıklık şarttır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free