Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Devlet
Secret Blizzard, Ukrayna Askeri Cihazlarını Hacklemek İçin Üçüncü Taraf Amadey Botlarını Kullandı
Jayant Chakravarti (@JayJay_Tech) •
12 Aralık 2024
Rus devleti destekli bir hacker grubu, Ukrayna’nın ön cephedeki askeri birimleri tarafından kullanılan cihazlara sızmak ve casusluk yapmak için üçüncü taraf veri çalma botları ve muhtemelen Rusya merkezli başka bir tehdit grubu tarafından kullanılan bir arka kapı kullandı.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Microsoft, casusluk faaliyetini Rusya’nın önde gelen istihbarat teşkilatı Federal Güvenlik Servisi’nin Secret Blizzard olarak takip ettiği Merkez 16’ya bağladı. Grup, Mart ve Nisan ayları arasında, hedef cihazlara PowerShell arka kapılarını ve özel KazuarV2 arka kapısını dağıtmak için sık kullanılan Amadey kötü amaçlı yazılımını kullandı.
Casusluk hackleri, Ukrayna birlikleri tarafından kullanılan cihazların yerini tespit etmek ve bu cihazlardan bilgi yakalamak için yapılan üç aşamalı bir gözetim çalışmasından oluşuyordu. İlk aşamada Secret Blizzard, cihaz adı, yönetici durumu ve yüklü antivirüs programlarının kodları dahil olmak üzere cihaz bilgilerini yakalamak için üçüncü taraf Amadey botlarını kullandı.
İkinci aşamada, Secret Blizzard, ilk gözetim çalışmaları sırasında cihazlara, özellikle de Starlink IP adresleriyle ilişkili Ukrayna’nın ön cephe askeri cihazlarına özel bir keşif aracı yerleştirdi.
Üçüncü aşamada grup, cihazın ağ bağlantıları, depolanan bilgiler, yüklü yamalar ve diğer cihazlarla iletişim hakkında ek bilgi elde eden özel Tavdig arka kapı yükünü dağıtmak için procmap.exe adlı yürütülebilir dosyayı kullandı. Grup ayrıca kurban cihazlarında gelişmiş gözetim gerçekleştirmek için KazuarV2 arka kapı Truva atını da kullandı.
Microsoft’un uyarısı, şirketin 4 Aralık’ta Venomous Bear, Snake ve Turla APT grubu olarak da takip edilen ve Storm-0156 olarak takip edilen Pakistan merkezli bir casusluk ağının komuta ve kontrol altyapısını dağıtmak üzere ele geçiren Secret Blizzard’a ilişkin benzer bir uyarının ardından geldi. Asya’daki hedeflenen cihazlarda kendi arka kapıları. Kurbanlar arasında Afganistan Dışişleri Bakanlığı, İstihbarat Genel Müdürlüğü ve ülkenin dış konsoloslukları da vardı.
Moskova dışındaki Ryazan kasabasında bulunan Secret Blizzard, Vladimir Putin rejiminin işine yarayacak bilgiler elde etmek amacıyla yabancı hükümet kuruluşlarını hedef alan gizli gözetim operasyonları yürütmek için en az 25 yıl harcadı. Grubun öncelikli hedefleri arasında dışişleri bakanlıkları, büyükelçilikler, devlet daireleri, savunma bakanlıkları ve dünya çapındaki savunmayla ilgili şirketler yer alıyor (bkz: Russian APT Hackers Co-Opt Pakistan Infrastructure).
Mart-Nisan kampanyası sırasında Secret Blizzard, üçüncü taraf Amadey botlarını kullanırken, diğer tehdit aktörleri de XMRIG kripto para madencilerini cihazlara dağıtmak için bunları kullandı. Microsoft, casusluk grubunun ya Amadey’in hizmet olarak kötü amaçlı yazılım teklifini kullandığını ya da hedeflenen cihazlara PowerShell damlatıcıları bırakmak için botun komuta ve kontrol panellerine gizlice eriştiğini değerlendirdi.
Grup muhtemelen hedeflenen askeri personeli Amadey botunu cihazlarına indirmeye ikna etmek için hedef odaklı kimlik avı saldırıları kullandı. Microsoft’a göre Secret Blizzard, ilk saldırı vektörü olarak genellikle hedef odaklı kimlik avını kullanıyor ve ardından güvenliği ihlal edilmiş ağlarda yanal olarak hareket etmek için sunucu tarafı ve uç cihaz risklerini kullanıyor.
PowerShell damlalıkları tarafından enjekte edilen özel keşif aracı, dizin ağacı, aktif oturumlar, sistem bilgileri, IPv4 yönlendirme tablosu, SMB paylaşımları, etkin güvenlik grupları ve dahil olmak üzere kurban cihazlardan çeşitli veriler toplayan bir toplu iş dosyasının şifresini çözmek için RC4 algoritmasını kullandı. zaman ayarları.
Toplanan bilgiler yine RC4 ile şifrelendi ve Secret Blizzard’ın komuta ve kontrol sunucusuna gönderildi. Araç ayrıca, kurban cihazında Microsoft Defender’ın etkin olup olmadığını veya programın daha önce Amadey ile ilgili etkinliği işaretleyip işaretlemediğini belirlemek için “cmdlet” komut satırının şifresini çözdü.
Microsoft araştırmacıları ayrıca Ocak ayında Rusya merkezli başka bir tehdit grubu tarafından ele geçirilen Ukrayna askeri cihazlarını hedef alan Secret Blizzard etkinliğinin işaretlerini de gözlemledi. Storm-1837 olarak takip edilen bu grup, daha önce Ukraynalı drone operatörlerinin kullandığı cihazları hedef alıyordu.
Storm-1837 PowerShell arka kapısı başlatıldığında araştırmacılar, cihaza yüklenen PowerShell damlalığının, Secret Blizzard’ın Amadey botlarını kullanırken kullandığı damlalıkla benzer işlevselliğe sahip olduğunu belirtti. Damlalık, Tavdig arka kapı yükünü ve bir Symantec ikili dosyasını içeren iki base64 kodlu dosya içeriyordu.