olarak bilinen Rusya bağlantılı gelişmiş kalıcı tehdit (APT) grubu Kule 2022’den bu yana kendi operasyonlarını yürütmek üzere Storm-0156 adlı Pakistan merkezli bir bilgisayar korsanlığı grubunun komuta ve kontrol (C2) sunucularına sızmayı içeren, daha önce belgelenmemiş bir kampanyayla bağlantılı olduğu ortaya çıktı.
Lumen Technologies Black Lotus Labs, ilk olarak Aralık 2022’de gözlemlenen faaliyetin, ulus devlet düşmanının kendi hedeflerini ve bulut ilişkilendirme çabalarını ilerletmek için başka bir grubun kötü niyetli operasyonlarına “yerleşmesi”nin en son örneği olduğunu söyledi.
The Hacker ile paylaşılan bir raporda şirket, “Aralık 2022’de Secret Blizzard ilk olarak Storm-0156 C2 sunucusuna erişim elde etti ve 2023’ün ortalarında kontrolünü Storm-0156 aktörüyle ilişkili bir dizi C2’ye kadar genişletti” dedi. Haberler.
Turla’nın, bu sunuculara erişimlerini kullanarak, Storm-0156 tarafından halihazırda düzenlenen izinsiz girişlerden faydalanarak, TwoDash ve Statüzy olarak takip edilen kendi özel kötü amaçlı yazılımını çeşitli Afgan devlet kurumlarıyla ilişkili seçilmiş sayıda ağda dağıttığı tespit edildi. TwoDash ısmarlama bir indiricidir, Heykelzy ise Windows panosuna kaydedilen verileri izleyen ve günlüğe kaydeden bir truva atıdır.
Bulgularını kampanyaya da aktaran Microsoft Tehdit İstihbaratı ekibi, Turla’nın, SideCopy ve Transparent Tribe olarak takip edilen etkinlik kümeleriyle örtüşen Storm-0156’ya bağlı altyapıyı kullanmaya başladığını söyledi.
Microsoft, yayınla paylaşılan koordineli bir raporda “Gizli Blizzard komuta ve kontrol (C2) trafiği, Storm-0156’nın Afganistan ve Hindistan’daki kampanyalardan sızdırılan verileri derlemek için kullandığı altyapı da dahil olmak üzere Storm-0156 altyapısından kaynaklandı.” dedi.
Blue Python, Iron Hunter, Pensive Ursa, Secret Blizzard (eski adıyla Kripton), Snake, SUMMIT, Uroburos, Venomous Bear ve Waterbug isimleriyle de bilinen Turla’nın Rusya Federal Güvenlik Servisi’ne (FSB) bağlı olduğu değerlendiriliyor.
Yaklaşık 30 yıldır aktif olan tehdit aktörü; Snake, ComRAT, Carbon, Crutch, Kazuar, HyperStack (diğer adıyla BigBoss) ve TinyTurla gibi çok çeşitli ve gelişmiş araç seti kullanıyor. Öncelikle hükümet, diplomatik ve askeri kuruluşları hedef alıyor.
Grubun ayrıca diğer tehdit aktörlerinin altyapılarını kendi amaçları doğrultusunda ele geçirme geçmişi de var. Ekim 2019’da Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Turla’nın İranlı bir tehdit aktörünün arka kapılarını kendi istihbarat gereksinimlerini geliştirmek için kullandığını ortaya çıkardı.
NCSC o dönemde “Turla, kendi araçlarını ilgi mağdurlarına dağıtmak için İran APT’lerinin Komuta ve Kontrol (C2) altyapısına erişti ve kullandı” dedi.
Daha sonra Ocak 2023’te Google’ın sahibi olduğu Mandiant, Turla’nın Ukrayna’daki hedeflere kendi keşif ve arka kapı araçlarını sunmak için ANDROMEDA adlı ticari amaçlı kötü amaçlı yazılım tarafından kullanılan saldırı altyapısını kullandığını belirtti.
Turla’nın farklı bir saldırganın aracını yeniden kullandığı üçüncü örnek, Kaspersky tarafından Nisan 2023’te, Storm-0473 olarak takip edilen Kazakistan merkezli bir tehdit aktörüne atfedilen Tomiris arka kapısının Eylül 2022’de QUIETCANARY’yi dağıtmak için kullanıldığı belgelendi.
Microsoft, “Secret Blizzard’ın diğer tehdit aktörlerinin altyapısını veya araçlarını ele geçirme veya ele geçirme operasyonlarının sıklığı, bunun Secret Blizzard’ın taktik ve tekniklerinin kasıtlı bir bileşeni olduğunu gösteriyor” dedi.
Black Lotus Labs ve Microsoft tarafından tespit edilen son saldırı kampanyası, tehdit aktörünün Afgan hükümeti cihazlarına arka kapılar dağıtmak için Storm-0156 C2 sunucularını kullandığını, Hindistan’da ise Hindistan askeri ve savunmayla ilgili kurumlardan sızdırılmış verileri barındıran C2 sunucularını hedef aldığını gösteriyor.
Storm-0156 C2 sunucularının ele geçirilmesi, Turla’nın eski sunucunun Crimson RAT ve Wainscot adlı daha önce belgelenmemiş Golang implantı gibi arka kapılarına el koymasına da olanak sağladı. Black Lotus Labs, The Hacker News’e sunucuların ilk etapta nasıl ele geçirildiğinin şu anda bilinmediğini söyledi.
Microsoft, “Bu, Secret Blizzard’ın Storm-0156’nın Güney Asya’daki ilgi çekici hedefleri hakkında, bu kuruluşları doğrudan hedeflemeden istihbarat toplamasına olanak tanıyor” dedi.
“Başkalarının kampanyalarından yararlanmak, Secret Blizzard’ın göreceli olarak minimum çabayla ilgi ağları üzerinde dayanak noktası oluşturmasına olanak tanıyor. Ancak bu ilk dayanak noktası, başka bir tehdit aktörünün ilgi hedefleri üzerinde oluşturulduğundan, bu teknik aracılığıyla elde edilen bilgiler, Secret Blizzard’ın koleksiyon öncelikleri.”