Siber güvenlik firması Mandiant Perşembe günü yaptığı bir danışma belgesinde şunları söyledi: Mandiant’ın UNC4210 tanımlamasıyla da bilinen Turla Team APT, güvenliği ihlal edilmiş sistemlere yeniden bağlanmak için Andromeda’nın feshedilmiş komuta ve kontrol (C2) altyapısının parçası olan üç alanın kontrolünü ele geçirdi. Oyunun sonu, Kopiluwak olarak bilinen bir keşif aracı ve QuietCanary olarak bilinen bir arka kapı dağıtmaktı.
Kullanıma hazır bir ticari kötü amaçlı yazılım programı olan Andromeda’nın geçmişi en az 2013 yılına kadar uzanır ve virüs bulaşmış USB sürücüler aracılığıyla sistemleri tehlikeye atar. Uzlaşma sonrası, çoğu çevrimdışına alınmış olan bir etki alanı listesine bağlanır.
Mandiant’ın kıdemli baş analisti Tyler McLellan, Turla Ekibi ile Andromeda’nın arkasındaki grup arasında hiçbir ilişki olmamasının, önceki virüslü sistemlerin işbirliğini oldukça yeni kıldığını söylüyor.
“Andromeda etki alanlarını birlikte seçmek ve bunları Andromeda kurbanlarına kötü amaçlı yazılım dağıtmak için kullanmak yeni bir şey” diyor. “Tehdit aktörlerinin başka bir grubun etki alanlarını yeniden kaydettiğini gördük, ancak bir grubun başka bir grubun kurbanlarına kötü amaçlı yazılım dağıttığını hiç gözlemlemedik.”
Andromeda’nın yavaş yayılması, saldırganların virüs bulaşmış sistemlerin kontrolünü ücretsiz olarak ele geçirmesine olanak tanır.
Mandiant, danışma belgesinde “Eski Andromeda kötü amaçlı yazılımı, güvenliği ihlal edilmiş USB cihazlarından yayılmaya devam ederken, bu yeniden kaydedilen alanlar, yeni tehdit aktörlerinin kontrolü ele alıp kurbanlara yeni kötü amaçlı yazılımlar sunabilmesi nedeniyle bir risk oluşturuyor.” “Geniş çapta dağıtılan, mali amaçlı kötü amaçlı yazılımlar tarafından kullanılan, süresi dolmuş etki alanlarını talep etmeye yönelik bu yeni teknik, çok çeşitli varlıklarda devam eden güvenlik ihlallerini mümkün kılabilir.”
Başka bir grubun virüs bulaşmış varlıklarının kaçırılması alışılmadık bir durum olsa da, geçmişte bilgisayar korsanlarının güvenliği ihlal edilmiş makineler için kavga etmesi, birbirlerinin sistemlerini çalması veya aynı güvenlik açığını bir sisteme bulaşmak ve önceki bir enfeksiyonun üzerine yazmak için kullanması nedeniyle olmuştur. Örneğin, 2000’lerin başında, MyDoom solucanı sistemlere bulaştı, ancak güvenliği ihlal edilmiş bilgisayarları daha fazla saldırıya açık bırakarak, istismar edilen sistemlerin kararlılığını artırmak isteyen bilgisayar korsanları arasında bir kapışmaya yol açtı.
Bugün, siber suçluların sistemleri tehlikeye atması ve ardından bu virüslü makineleri veya bu sistemlere erişmek için kimlik bilgilerini, ilk erişim aracısı alt ekonomisinin bir parçası olarak yer altı forumlarında ve karanlık pazarlarda satması daha olasıdır.
Yavaş Hareket Eden Andromeda Enfeksiyonları Galaksisi
Saldırı, Aralık 2021’de Ukraynalı bir kuruluştaki bir sisteme virüslü bir USB sürücüsünün takılması ve bir çalışanın yanlışlıkla kötü amaçlı bağlantıya tıklamasıyla başladı. Mandiant, siber saldırının sisteme Andromeda’nın ilk kez Mart 2013’te antivirüs tarama hizmeti VirusTotal tarafından görülen bir sürümünü bulaştırdığını belirtti.
Mandiant saldırıyı ilk olarak Eylül 2022’de tespit etti. Turla, Rusya merkezli bir tehdit grubu, ancak MITRE ATT&CK sayfasına göre yaklaşık yirmi yılda yaklaşık 45 ülkede çok çeşitli kuruluşları hedef aldı.
Mandiant’ın kıdemli baş analisti Tyler McLellan, Turla ile Andromeda arasında bir ilişki olmasa da, diğer sistemlere bulaşmak için Andromeda kötü amaçlı yazılımını kullanmanın Turla operasyonunu gözden uzak tutmasına yardımcı olduğunu söylüyor.
“Andromeda eski olmasına ve muhtemelen bugün faaliyete geçmemesine rağmen, hala çok sayıda kurban görüyoruz” diyor. “Bir kullanıcı zaten virüs bulaşmış bir sisteme temiz bir USB taktığında, bu yeni USB virüs bulaşabilir ve yayılmaya devam edebilir.”
Özenle Seçilmiş Hedefler: Çok Özel Bir Tehdit
Saldırganlar, en ilginç hedefleri belirlemek için sistemleri profilleyerek ve ardından bu sistemlerden yalnızca birkaçına saldırarak olabildiğince gizli kalmaya çalıştı. Şirket, Mandiant’ın Turla tarafından kontrol edilen sunucuları yalnızca kısa süreler boyunca, genellikle birkaç gün boyunca aktif olduğunu ve haftalarca kapalı kalma süresiyle gözlemlediğini belirtti.
Şirket, danışma belgesinde “Mandiant, Andromeda sahneleyici örneklerine işaret eden birkaç farklı ana bilgisayar belirledi” dedi. “Ancak, Turla ile ilgili kötü amaçlı yazılımın ek aşamalarda bırakıldığı yalnızca bir vaka gözlemledik, bu da hangi kurbanların bir takip yükü alacağının seçiminde yüksek düzeyde bir kesinlik olduğunu gösteriyor.”
McLellan, Turla Ekibi operasyonunun saldırı vektörlerini ortadan kaldırmanın ve olaylara, düşük öncelikli görünseler bile yanıt vermenin önemini vurguladığını söylüyor.
“Şirketler, çevrelerinde USB’lerin neler olduğuna dikkat etmeli ve mümkün olan yerlerde çalışanlarını USB’leri kullanmaktan caydırmalı” diyor. “Bu olay, ortamınızda daha uzun vadeli kötü amaçlı yazılım bulaşmalarının ne olduğu konusunda da endişe uyandırmalıdır ve bir tehdit aktörü, erişim elde etmek için bu C2 altyapısını birlikte seçebilir.”