Araştırmacılar, 2012’den beri faaliyet gösteren, Hindistan kökenli olduğu düşünülen ulus-devlet tehdit aktörü SideWinder’ın yeni bir kampanyasını ortaya çıkardı.
Kimlik avı e-postalarının analizi, kampanyanın Hint Okyanusu ve Akdeniz’deki limanları ve deniz tesislerini hedef aldığını gösteriyor. Saldırının ilk aşaması, grubun Pakistan, Mısır ve Sri Lanka’yı hedef aldığını ima ederken, ikinci aşama Bangladeş, Myanmar, Nepal ve Maldivler’e daha fazla odaklanıldığını gösteriyor.
Araştırmacılar, kampanyanın amacının SideWinder’ın daha önceki faaliyetleriyle tutarlı olarak casusluk ve istihbarat toplamak olduğunu düşünüyor.
SideWinder Taktikleri, Teknikleri ve Prosedürleri (TTP’ler)
BlackBerry Threat Research and Intelligence ekibinden araştırmacılar, SideWinder grubunun altyapısını ve taktiklerini, tespitten kaçınmak ve hedefli implantlar sunmak için tasarlanmış sofistike e-posta mızraklı kimlik avı, belge istismarı ve DLL yan yükleme tekniklerine doğru yükselttiğini belirtti. Saldırı zinciri, genellikle belirli bir port altyapısıyla ilgili olan, hedeflere tanıdık gelen oldukça belirli logolar ve temalar içeren kötü amaçlı bir belge içeren bir kimlik avı e-postasıyla başlar.
Bir örnek İskenderiye Limanı’ndan gelen bir mektubu taklit ederken, bir diğeri Kızıldeniz Liman İdaresi’ni taklit etti. Belgeler, kurbanları ekleri hemen açmaya zorlamak için çalışanların işten çıkarılması, iddia edilen cinsel taciz olayları veya maaş kesintileri gibi konularda duygusal olarak yüklü bir dil kullanıyor.
Araştırmacılar tarafından analiz edilen belge, hedefin sistemine ilk erişimi elde etmek için CVE-2017-0199 güvenlik açığını kullanan uzaktan şablon enjeksiyon tekniğini kullanıyor. 2017’de yamalanan CVE-2017-0199 güvenlik açığı, genellikle kimlik avı kampanyalarında tehdit aktörleri tarafından kullanılıyor.
Daha sonra, erişim sırasında CVE-2017-11882 güvenlik açığını istismar etmek için kabuk kodu içeren ek bir kötü amaçlı belgeyi indirmek için zengin metin biçimi (RTF) dosyası kullanılır. Kabuk kodu ayrıca kurbanın sistemini gerçek bir ortam mı yoksa sanal bir makine mi olduğunu görmek için kontrol ederek saldırı zincirinin tespit edilemediğinden emin olur.
Eğer komut dosyası ortam kontrollerinden geçerse, yürütülmek üzere uzak bir sunucudan ek JavaScript kodu yüklenir.
SideWinder Karartma Teknikleri
Saldırı zincirinin ikinci aşaması, çevrimiçi trafiği maskelemek ve anonim web taraması sağlamak için kullanılan eski bir Tor düğümünü kullanır. Ancak, ikinci aşama için teslimat altyapısı, hedeflenen coğrafi alanın dışındayken C2 tarafından döndürülen bir RTF belgesi olan 8 baytlık bir dosya aracılığıyla hala tanımlanabilir.
C2 ayrıca çevrimiçi trafiği maskelemek ve anonim web taraması sağlamak için kullanılan eski bir Tor düğümü kullanır. Ancak araştırmacılar, kampanyada kullanılmaya hazır benzer adlandırma yapılarına sahip birden fazla alan adı tespit etti.
Karşı Önlemler ve Sonuç
Araştırmacılar, kampanyanın son aşamasında iletilen JavaScript kodunun canlı örneklerini elde edemeseler de, SideWinder’ın önceki kampanyalarına dayanarak operasyonun amacının casusluk ve istihbarat toplamak olduğunu düşünüyorlar.
Araştırmacılar, SideWinder’ın düzeltmeleri mevcut olan eski güvenlik açıklarını kullanmaya devam etmesi nedeniyle, yama sistemlerinin önemini vurguladılar. Ayrıca aşağıdaki ek önerileri de paylaştılar:
- Kampanyada yer alan CVE-2017-0199 ve CVE-2017-11882 açığından dolayı Microsoft Office kullanan kuruluşların tüm sistemlerini güncel tutmak için özel önlem almaları gerekiyor.
- Çalışanların kimlik avı kampanyalarına karşı korunmaları için eğitilmeleri gerekir.
- Kuruluşlar, kötü amaçlı kimlik avı kampanyalarına karşı koruma sağlamak için gelişmiş e-posta filtreleme çözümlerini uygulamalıdır.
- Kuruluşlar gelişmiş gerçek zamanlı tehdit algılama ve yanıt çözümlerine yatırım yapmalıdır.
Araştırma ekibi, ek bilgiler elde etmek için tehdit aktörünün araçlarını ve kötü amaçlı dosyaların kullanımını gibi faaliyetlerini izlemeye devam ediyor.