Rusya’nın kum kurdu apt’in bir alt grubu, Rusya’nın ilgilendiği ekonomik sektörlerde çalışan kuruluşların BT ağlarına ilk ve sürekli erişim elde etmek için çalışıyor.
“2022’de birincil odak noktası Ukrayna idi ve özellikle enerji, perakende, eğitim, danışmanlık ve tarım sektörlerini hedef aldı. 2023 yılında, uzlaşmasının kapsamını küreselleştirerek ABD, Avrupa, Orta Asya ve Orta Doğu’daki çok sayıda sektörde sürekli erişime yol açtı. ”Microsoft’un araştırmacıları Çarşamba günü paylaştı.
“2024’te, birden fazla güvenlik açıkının maruz kalması, alt gruba her zamankinden daha fazla erişim sunarken, ABD, Kanada, Avustralya ve Birleşik Krallık’a odaklanmış gibi görünüyordu.”
Alt grubun hedefleri dünyayı kapsıyor (Kaynak: Microsoft)
Sandworm hakkında
Sandworm (Microsoft’a göre: “Seasshell Blizzard”) araştırmacılar tarafından Rus askeri istihbarat birimi 74455 (GRU) ile ilişkilendirilen bir tehdit grubudur.
Grup, Killdisk ve Notpetya gibi yıkıcı saldırılara katıldı.
2020’de ABD, kum kurdu üyesi olduğuna inanılan altı GRU subayına karşı bir iddianame açtı.
Sandworm başlangıç erişim alt grubunun taktikleri, teknikleri ve prosedürleri (TTP’ler)
Alt grup, genel tarama veritabanlarını kullanır ve hedeflerin savunmasız internete dönük altyapısını kullanmaya odaklanır. Aşağıdaki güvenlik açıklarından yararlandıkları bilinmektedir:
Kalıcılık için başlangıçta web mermileri konuşlandırdılar. 2024’ün başlarında, Atera Agent ve Splashtop Uzaktan Hizmetler gibi meşru uzaktan izleme ve yönetim (RMM) araçlarını kurmaya ve kullanmaya başladılar.
RMM araçları, kimlik bilgilerini çalmak ve eklemek için ikincil araçlar dağıtmalarına izin verdi.
Alt grubun operasyonel yaşam döngüsü (Kaynak: Microsoft)
“Bir kurban alt grubu arasında, Seasshell Blizzard, tehdit oyuncusu benzersiz bir aktivite gerçekleştirdi ve bu da tehdit oyuncunun daha dayanıklı kalıcılık ve doğrudan erişim aradığını gösterdi. Bu durumlarda, Seasshell Blizzard OpenSsh’i benzersiz bir genel anahtarla konuşlandırdı ve aktör kontrollü bir hesap ve kimlik bilgisi kullanarak uzlaşmış sistemlere erişmelerine izin verdi ”diyor Microsoft.
Daha da kalıcılık için, tehlikeye atılan sistemleri Tor Gizli Hizmet (Microsoft olarak adlandırılan Shadowlink olarak adlandırılan bir teknik) olarak da kaydettirdiler.
“Shadowlink ile tehlikeye atılan sistemler benzersiz bir .soğan adres, onları TOR ağı üzerinden uzaktan erişilebilir hale getirin. Bu yetenek, Seasshell Blizzard’ın bir sıçan kullanma ortak sömürüsünü atlamasına izin veriyor, bu da genellikle bir tür C2’yi ağ yöneticileri tarafından kolayca denetlenen ve tanımlanan aktör kontrollü altyapıya kullanıyor ”dedi.
“Bunun yerine, Tor Gizli Hizmetlere güvenerek, tehlikeye atılan sistem, Tor ağına kalıcı bir devre oluşturur, gizli bir tünel görevi görür, etkilenen varlığa tüm gelen bağlantıları etkili bir şekilde gizler ve hem aktör hem de kurban ortamından maruz kalmayı sınırlar.”
Grup ayrıca Outlook Web Access (OWA) oturum açma sayfaları (yanal hareket için kimlik bilgileri toplamak için) ve DNS yapılandırmaları (muhtemelen kritik kimlik doğrulama hizmetlerinden kimlik bilgilerini engellemek için) gibi ağ kaynaklarını değiştirdi.
Gelecekteki saldırılar için zemin hazırlamak
Microsoft araştırmacılarına göre, alt grup muhtemelen uzlaşmalara ulaşmak için “sprey ve dua” yaklaşımı kullandı ve Rusya’nın stratejik çıkarlarını sınırlayan veya olmayan kuruluşları da tehlikeye attı. “Stratejik olarak önemli bir hedefin tehlikeye atıldığı durumlarda, daha sonra önemli olan önemli aktivite gözlemledik.”
Gerçek hedefler arasında enerji, petrol ve gaz, telekomünikasyon, nakliye ve silah üretim sektörleri ve uluslararası hükümetler de kuruluşlar vardı.
“Daha geniş deniz kabuklu Blizzard organizasyonunda Global erişimi ile karakterize edilen bu alt grup, hem deniz kabuğu Blizzard tarafından yürütülen coğrafi hedeflemede hem de operasyonlarının kapsamı genişlemesini temsil ediyor. Aynı zamanda, Seasshell Blizzard’ın geniş kapsamlı, fırsatçı erişim yöntemleri, Rusya’nın orta vadede değerli olmaya devam edecek niş operasyonlar ve faaliyetler için geniş fırsatlar sunuyor ”dedi.
Microsoft, uzlaşma, azaltma ve koruma rehberliği, olası deniz kabuklu blizzard aktivitesine işaret eden algılama ve uyarılar ve tehdit avcılık sorguları göstergeleri yayınladı.