Rusya’nın önde gelen gelişmiş kalıcı tehdit grubu, ordular, kamu yetkilileri ve işletmelerdeki binlerce hedefe kimlik avı yapıyor.
APT29 (aka Midnight Blizzard, Nobelium, Cosy Bear) tartışmasız dünyanın en kötü şöhretli tehdit aktörüdür. Rusya Federasyonu Dış İstihbarat Servisi’nin (SVR) bir kolu olup, en çok tarihi ihlallerle tanınır. SolarRüzgarlar ve Demokratik Ulusal Komite (DNC). Son zamanlarda ihlal edildi Microsoft’un kod tabanı ve siyasi hedefler Avrupa, Afrika ve ötesi.
Tenable’ın kıdemli personel araştırma mühendisi Satnam Narang, “APT29, ‘gelişmiş kalıcı tehdidin’ ‘kalıcı’ kısmını temsil ediyor” diyor. “İlk erişim elde etmek ve ayrıcalıkları yükseltmek için hedef odaklı kimlik avı ve güvenlik açıklarından yararlanma dahil olmak üzere çeşitli teknikler kullanarak, yıllardır Amerika Birleşik Devletleri ve Avrupa’daki kuruluşları ısrarla hedef alıyor. Çalışma şekli, yabancı istihbarat toplamanın yanı sıra kalıcılığı sürdürmektir. Gelecekteki operasyonları yürütmek için güvenliği ihlal edilmiş organizasyonlarda.”
Aynı doğrultuda, Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA) yakın zamanda APT29 kimlik avı Windows kimlik bilgilerini keşfetti. Ukrayna’daki hükümet, askeri ve özel sektör hedefleri. Notları diğer ülkelerdeki yetkililerle karşılaştırdıktan sonra CERT-UA, kampanyanın aslında “geniş bir coğrafyaya” yayıldığını tespit etti.
Narang, APT29’un jeopolitik olarak önde gelen ve çeşitli kuruluşların hassas kimlik bilgilerinin peşine düşmesinin sürpriz olmadığını belirtiyor, ancak şunu da ekliyor: “Yoldan sapan tek şey, onun geniş hedeflemesi olacaktır. [its typical more] dar odaklı saldırılar.”
AWS ve Microsoft
Ağustos ayına kadar uzanan kampanya, Amazon Web Services’ten (AWS) geliyormuş gibi görünen kötü amaçlı alan adları kullanılarak gerçekleştirildi. Bu alanlardan gönderilen e-postalar, alıcılara AWS’nin Microsoft hizmetleriyle nasıl entegre edileceği ve sıfır güven mimarisinin nasıl uygulanacağı konusunda tavsiyelerde bulunuyormuş gibi görünüyordu.
Maskeli baloya rağmen AWS, saldırganların Amazon’un veya müşterilerinin AWS kimlik bilgilerinin peşinde olmadığını bildirdi.
APT29’un gerçekte ne istediği, bu e-postaların eklerinde ortaya çıktı: Uzak Masaüstü için yapılandırma dosyaları, Microsoft’un Uzak Masaüstü Protokolünü (RDP) uygulamaya yönelik uygulaması. RDP, meşru kullanıcıların ve bilgisayar korsanlarının bilgisayarları uzaktan çalıştırmak için kullandıkları popüler bir araçtır.
“Normalde saldırganlar sisteminize kaba kuvvetle girmeye veya güvenlik açıklarından yararlanmaya çalışacak, ardından RDP’yi yapılandıracaklardır. Bu durumda temel olarak şunu söylüyorlar: ‘Bu bağlantıyı kurmak istiyoruz’ [upfront],” diyor Narang.
Bu kötü amaçlı eklerden birinin başlatılması, anında APT29 sunucusuna giden bir RDP bağlantısını tetikleyecekti. Ancak hepsi bu kadar değil: Dosyalar ayrıca bir dizi başka kötü amaçlı parametre de içeriyordu; örneğin, bağlantı kurulduğunda saldırgana hedef bilgisayarın depolama alanına, panosuna, ses aygıtlarına, ağ kaynaklarına, yazıcılarına, iletişimine (COM) erişim izni veriliyordu. ) bağlantı noktaları ve daha fazlası, özel kötü amaçlı komut dosyalarını çalıştırma özelliğiyle birlikte sunulur.
RDP’yi engelle
APT29 herhangi bir meşru AWS etki alanı kullanmamış olabilir ancak Amazon yine de grubun kötü niyetli kopyalarını ele geçirerek kampanyayı kesintiye uğratmayı başardı.
CERT-UA, potansiyel kurbanlar için sıkı önlemler öneriyor: yalnızca APT29’a bağlı IP adreslerine yapılan bağlantılara ilişkin ağ günlüklerini izlemek değil, aynı zamanda ay sonuna kadar daha geniş Web üzerindeki tüm IP adreslerine giden tüm bağlantıları da analiz etmek.
Gelecekte risk altında olan kuruluşlar için ise Narang daha basit tavsiyeler sunuyor. “Öncelikle RDP dosyalarının alınmasına izin vermeyin. Bunları e-posta ağ geçidinizde engelleyebilirsiniz. Bu, her şeyi diz çökertir” diyor.
AWS bu hikaye hakkında daha fazla yorum yapmayı reddetti. Dark Reading, bakış açısı için Microsoft’a da ulaştı.