Hindistan’ın üretken SideWinder gelişmiş kalıcı tehdit grubu (APT), bir sonraki aşama yükü teslim etmek için geleneksel imza tabanlı antivirüs (AV) tespitini atlamasına olanak tanıyan polimorfizm teknikleri kullanarak Pakistan hükümet yetkililerini ve Türkiye’deki bireyleri hedefliyor.
BlackBerry Tehdit Araştırma ve İstihbarat ekibindeki araştırmacılar, 8 Mayıs’ta bir blog gönderisinde, saldırıların, ilgi alanlarına yönelik içeriğe sahip belgeler kullandığını ve açıldığında kötü amaçlı yükler göndermek için uzak bir şablon enjeksiyon kusurundan yararlandığını ortaya çıkardı.
Kampanyanın ilk aşaması — Kasım ayında keşfedildi — Araştırmacılar, Pakistan’daki hedeflere karşı sunucu tarafı polimorfik bir saldırı kullanırken, bu yılın başlarında keşfedilen daha sonraki bir aşamada kurbanlara kötü niyetli tuzak belgeleri dağıtmak için kimlik avı taktikleri kullandığını söyledi.
Ancak araştırmacılar, APT’nin, kötü amaçlı yazılımları düşürmek için belgelerde kötü amaçlı makrolar kullanmak yerine (ki bu genellikle belgelerin yem olarak kullanıldığı durumlarda geçerlidir) CVE-2017-0199 güvenlik açığından yararlanarak yükleri teslim ettiğini söyledi.
2012’den beri aktif olan SideWinder, Kaspersky tarafından 2018’in ilk çeyreğinde tespit edildi ve öncelikle Pakistan askeri altyapısını hedef aldığı düşünülüyor. Bununla birlikte, son araştırmaların ve son saldırıların gösterdiği gibi, grubun hedef aralığı – yaygın olarak Hint casusluğu çıkarlarıyla ilişkili olduğuna inanılıyor – bundan çok daha geniş görünüyor.
Polimorfizm Savunucuları Nasıl Kandırır?
Sunucu tarafı polimorfizmi, 1990’lardan beri saldırganlar tarafından AV araçları tarafından tespit edilmekten kaçınmak için kullanılan bir tekniktir. Araştırmacılar, bunu, iki örneğin aynı görünmediğinden ve bu nedenle kolayca analiz edilemeyeceğinden emin olarak, şifreleme ve şaşırtma yoluyla görünümünü değiştiren kötü amaçlı kod kullanarak yapıyor.
BlackBerry’de siber tehdit istihbaratı kıdemli direktörü Dmitry Bestuzhev, Dark Reading’e verdiği demeçte, saldırının savunucuları kandırabileceğini çünkü bir bağlantıya her tıklandığında kurbana yeni bir örnek sunduğunu söylüyor. Bu durumda, her yeni indirmenin “güvenlik operasyon merkezleri (SOC’ler) ve bazı uç nokta tarayıcıları tarafından kullanılan karma tabanlı algılamaları etkili bir şekilde kıran” yeni bir karma değeri vardır, diyor.
Bestuzhev, “Her seferinde yeni bir hash olduğundan, her yeni örnek daha fazla analiz için tekrar tekrar yüklenmediği sürece VirusTotal gibi genel çoklu tarayıcılarda belirli bir örnek hakkında hiçbir bilgi yoktur” diyor. “Bu nedenle, halka açık sanal alanlar ve diğer benzeri güvenlik hizmetleri hakkında bilgi eksikliği nedeniyle kurbanların hayatını zorlaştırıyor.”
Son Kampanya
BlackBerry araştırmacıları, belgeleri kullanıcılara ulaştırmak için kullanılan saldırgan kontrollü bir sunucuda bulunan kampanya kapsamındaki çeşitli belgeleri inceledi. Araştırmacıların karşılaştığı ilk belge “BEACON JOURNAL – 2023 PAKİSTAN DONANMA KOLEJİ (PNWC)” başlığını taşırken, Aralık ayı başlarında keşfedilen bir diğeri, savunma malzemelerinin, savunma hizmetlerinin satın alınması için bir teklif ve kabul mektubu gibi görünüyordu. ikisi birden.”
Her iki durumda da hedeflere, saldırının polimorfik doğasını gösteren ve yalnızca tarafından indirilebilen bir sonraki aşama yükü olan “file.rtf” adlı zengin metin belgesi dosyasını indirecek olan SideWinder tarafından kontrol edilen uzak adreslere ulaşmaları talimatı verildi. Araştırmacılar, Pakistan IP aralığındaki kullanıcıların olduğunu söyledi.
“‘file.rtf’ dosyasının adı ve dosya türü aynıdır; ancak içerik, dosya boyutu ve dosya karması farklıdır” dediler. “Bu, sunucunun her seferinde farklı bir dosya sürümüyle yanıt verdiği, böylece kurbanın antivirüs tarayıcısını atladığı (antivirüsün imza tabanlı algılama kullandığı varsayılarak) sunucu tabanlı polimorfizmin bir örneğidir.”
Kullanıcı Pakistan IP aralığında değilse, sunucu tek bir dize içeren 8 baytlık bir RTF dosyası döndürür; ancak araştırmacılar, kullanıcı Pakistan IP aralığındaysa, sunucunun boyutu 406KB ile 414KB arasında değişen RTF yükünü döndürdüğünü söyledi.
Türkiye ve Ötesine: Genişleyen Bir Siber Tehdit
Araştırmacılar, Mart ayı başlarında, önceki saldırıyla bağlantılı olan ve kimlik avı e-postaları yoluyla yayılan yeni bir kötü niyetli belge keşfettiler ve bu belge, saldırının kapsamının SideWinder için yeni bir hedef bölge olan Türkiye’deki kurbanlara da yayıldığını gösteriyor. Araştırmacılar, Mart ayının ortalarında, Türkiye’deki bir kurbanın ikinci aşama bir yük alabilmesi için kurulan yükü teslim eden yeni yapılandırılmış bir sunucu keşfettiklerini söylediler.
SideWinder’ın birincil hedefleri her zaman Pakistan ve Sri Lanka gibi Güneydoğu Asya bölgeleri olmuştur ve özellikle Pakistan devlet kurumlarına odaklanmıştır. Ancak araştırmacılar, Türk hükümetinin Hindistan’dan eleştirilere yol açan Pakistan’a verdiği destek nedeniyle Türkiye’deki kurbanları hedef almanın jeopolitik açıdan mantıklı olduğunu gözlemlediler.
Bestuzhev, genel olarak polimorfik saldırılara karşı savunmanın zor olabileceğini, ancak davranışa ve hash’lere dayalı tespit ve önleme stratejilerinin bunlara karşı etkili bir şekilde kullanılabileceğini söylüyor.
“Önleme teknolojileri, kod benzerliklerine ve buluşsal yöntemlere veya makine öğrenimi modellerine dayandığında, yeni bir hash olsa bile, kötü amaçlı örneğin tespitini bozmamalıdır” diye belirtiyor.
Kuruluşların bu saldırıları azaltmasının anahtarı, Bestuzhev ekler“uzlaşmanın uçucu göstergelerine değil, makine öğrenimi teknolojilerinin kapsadığı sistemdeki veya kod bloklarındaki anlamlı taktiklere, tekniklere ve prosedürlere (TTP’ler) ve davranışlara odaklanmaktır.”