Rus tehdit aktörü Secret Blizzard, Pakistanlı Storm-0156 grubuna ait 33 komuta ve kontrol (C2) sunucusuna sızdı ve bu, Secret Blizzard’ın Afgan hükümet kurumlarının ve Pakistanlı operatörlerin ağlarına erişmesine olanak tanıyor.
Hedeflenen ağlar hakkında istihbarat toplamak için kendi kötü amaçlı yazılımları TwoDash ve Statuszy’yi konuşlandırdılar ve Storm-0156’nın kötü amaçlı yazılımı Waiscot ve CrimsonRAT’tan yararlandılar; bu, Secret Blizzard’ın gelişmiş tekniklerini ve diğer tehdit aktörlerinin altyapısındaki güvenlik açıklarından yararlanma yeteneklerini gösteriyor.
Gizli ve kalıcı siber saldırılar gerçekleştirmek için diğer tehdit aktörlerinin altyapısını kullanan gelişmiş bir ulus devlet aktörüdür.
C2 sunucuları ve iş istasyonlarından ödün vererek hassas verilere yetkisiz erişim elde ediyorlar ve operasyonel erişim alanlarını genişletiyorlar.
Güven ilişkilerinden yararlanma ve çalıntı araçlardan yararlanma yetenekleri, gelişen tehdit ortamını ve sağlam siber güvenlik önlemlerine duyulan ihtiyacı vurguladığından, tespit ve ilişkilendirme mekanizmalarını atlamalarına olanak tanıyarak kritik altyapıları ve hükümet ağlarını hedeflemelerine olanak tanır.
Pakistanlı bir ulus devlet aktörü olan Storm-0156’nın, Hindistan ve Afganistan’daki fiziksel erişim yoluyla konuşlandırılan, geleneksel güvenlik önlemlerini atlayan ve veri sızdırmayı ve komut dosyası yürütmeyi mümkün kılan hedefleri tehlikeye atmak için Hak5 donanım tabanlı araçları kullandığı gözlemlendi.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
2022’nin sonlarında başlatılan ve 2023’ün başlarına kadar devam eden kampanya, Dışişleri Bakanlığı ve savunma kurumları da dahil olmak üzere hükümet kuruluşlarını hedef alarak Storm-0156’nın uyarlanabilirliğini ve kritik altyapıdan ödün vermeye ısrarla odaklandığını vurguladı.
Grup, Afgan hükümet ağlarına erişmek için ele geçirilen Storm-0156 C2 altyapısından yararlandı.
Güvenlik açıklarından yararlanarak ve özel kötü amaçlı yazılımları “Two-Dash”i konuşlandırarak, kritik sistemlere kalıcı erişim elde ettiler.
Grubun 2022 sonlarından 2023 ortalarına kadar uzanan operasyonları, kapsamlı veri sızıntısı ve hassas hükümet bilgilerini hedef alan potansiyel casusluk faaliyetlerini içeriyordu.
Lumen’e göre, Storm-0156’nın altyapısını ihlal etti, hassas bilgilere erişim sağladı ve bu erişimden faydalanarak CrimsonRAT ve Waiscot C2’lerle etkileşime girerek Hindistan hükümetini ve askeri ağları hedef almak için potansiyel olarak ek ağları tehlikeye attı.
Secret Blizzard kendi ajanlarını konuşlandırmamış olsa da, istihbarat toplamak ve saldırıları gerçekleştirmek için muhtemelen mevcut altyapıdan yararlandılar; bu da gelişen tehdit ortamını ve kritik altyapıyı korumak için güçlü siber güvenlik önlemlerine duyulan ihtiyacı vurguluyor.
FSB bağlantılı bir Rus tehdit aktörü, operasyonlarını gizlemek ve suçu başkalarına aktarmak için diğer tehdit aktörlerinin C2 sunucularının güvenliğini ihlal etmek gibi benzersiz bir taktiği benimsedi. Bu taktik, karmaşık teknikler ve veri sızdırmaya odaklanmayla birleştiğinde ciddi bir tehdit oluşturuyor.
Bu riski azaltmak için kuruluşlar, iyi ayarlanmış bir EDR çözümü, büyük veri aktarımlarının izlenmesi ve SASE çözümlerinin dikkate alınması dahil olmak üzere sağlam güvenlik önlemleri uygulamalıdır.
Güvenlik topluluğu, tetikte kalarak ve tehdit istihbaratını paylaşarak bu gelişmiş tehditlere karşı daha iyi koruma sağlayabilir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses