Kritik Altyapı Güvenliği
Siber casusluk kampanyası 7 yıllık bir Microsoft Office açığını istismar ediyor
Prajeet Nair (@prajeetskonuşuyor) •
31 Temmuz 2024
Hint Okyanusu ve Akdeniz’deki deniz tesisleri ve limanları, Hindistan devlet destekli bir tehdit grubuna atfedilen siber casusluk kampanyası kapsamında hedef alındı.
Ayrıca bakınız: Web Semineri | OT Sistemleri için Siber Dayanıklılığı ve Mevzuata Uygunluğu Geliştirme APAC
BlackBerry’nin Tehdit Araştırma ve İstihbarat ekibi, Bangladeş, Mısır, Myanmar, Nepal, Pakistan, Sri Lanka ve Maldivler’deki deniz tesislerini hedef alan bir casusluk kampanyasını ortaya çıkardı. BlackBerry, gruba SideWinder adını verdi.
Razor Tiger, Rattlesnake ve T-APT-04 olarak da takip edilen SideWinder, Hindistan’dan geliyor gibi görünüyor ve en az 2012’den beri aktif. Grubun Pakistan, Afganistan, Çin ve Nepal’deki varlıkları hedef alma geçmişi var.
BlackBerry, kampanyada yer alan cazip tekliflerin arasında cinsel taciz, maaş kesintisi ve çalışan işten çıkarma gibi konuları ayrıntılı olarak ele aldığı iddia edilen belgelerin de yer aldığını belirtti.
Kimlik avı e-postaları, bilgisayar korsanlarının uzaktan şablon enjeksiyonu yoluyla kötü amaçlı yazılım göndermesine olanak tanıyan CVE-2017-0199 olarak izlenen Microsoft Office’teki bilinen bir güvenlik açığını kullanır. 2017’den beri bir yama mevcut olmasına rağmen, güncel olmayan sistemlere sahip kuruluşlar savunmasız kalmaya devam ediyor. Hedef kötü amaçlı belgeyi açtığında, saldırının bir sonraki aşamasını indirmek için belirtilen bir URL ile iletişim kurar.
İkinci aşama, CVE-2017-11882 olarak izlenen başka bir Microsoft Office açığını kullanan Zengin Metin Biçimi dosyasını içerir. RTF’ye gömülü kabuk kodu, hedef sistemin fiziksel bir makine olup olmadığını ve savunucular tarafından kullanılan sanal bir ortam olup olmadığını kontrol eder. Uygunsa, saldırı devam eder ve saldırının diğer aşamalarına yol açan küçük bir JavaScript kodu yürütülür.
SideWinder’ın ikinci aşama komuta ve kontrol altyapısı, ağ analizini gizlemek için eski bir Tor düğümü kullanır. Buna rağmen araştırmacılar, tehditleri azaltmak için DNS sorgularını analiz eden koruyucu DNS, yani PDNS verileri aracılığıyla teslimat altyapısını tespit edebildiler.
Kampanya, SideWinder’ın ağ altyapısında ve teslimat yüklerinde istikrarlı bir evrim gösteriyor ve bu da tehdit aktörünün ek saldırılara hazırlandığını gösteriyor.