Meşru yazılım gibi görünen kötü amaçlı uygulamaları dağıtmak için Cloudflare’in İşçiler hizmetinden yararlanan karmaşık bir saldırı kampanyası.
Ukrayna Bilgisayar Acil Durum Müdahale Ekibi (CERT-UA), 17 Aralık 2024’te, tümü Cloudflare Workers kullanılarak yayınlanan, resmi “Army+” uygulama sayfasını taklit eden birkaç web kaynağının tespit edildiğini bildirdi.
Kötü amaçlı web siteleri, şüphelenmeyen kullanıcılardan “ArmyPlusInstaller-v.0.10.23722.exe” adlı yürütülebilir dosyayı indirmelerini ister, ancak dosya adı değişebilir.
Araştırmanın ardından bu dosyanın, sahte bir .NET dosyası, Python yorumlayıcı dosyaları, Tor program dosyaları ve “init.ps1” adlı bir PowerShell betiği içeren bir NSIS (Nullsoft Komut Dosyalı Kurulum Sistemi) yükleyicisi olduğu ortaya çıktı.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Yürütüldüğünde yükleyici, birkaç kötü amaçlı eylem gerçekleştiren PowerShell betiğinin yanında bir tuzak dosyası başlatır:
- Kurbanın bilgisayarına bir OpenSSH sunucusu yükler.
- Bir RSA anahtar çifti oluşturur.
- Kimlik doğrulama için “authorized_keys” dosyasına bir genel anahtar ekler.
- Özel anahtarı curl kullanarak saldırganların sunucusuna (Tor adresi) gönderir.
- Tor kullanarak gizli bir SSH hizmeti yayınlar.
Bu karmaşık kurulum, gizli bir arka kapı oluşturarak saldırganların ele geçirilen sisteme uzaktan erişmesine olanak tanır.
CERT-UA, bu kampanyayı, APT44 veya Sandworm olarak da bilinen kötü şöhretli UAC-0002 kümesiyle ilişkili olduğuna inandıkları UAC-0125 olarak bilinen tehdit aktörüne bağladı.
Rusya devleti destekli bu grubun Ukrayna’nın kritik altyapısını ve hükümet kuruluşlarını hedef alma geçmişi var.
Cloudflare Çalışanlarının kötü amaçlarla kötüye kullanılması, büyüyen bir eğilimin parçasıdır. Bir siber güvenlik firması olan Fortra, 2024 yılında Cloudflare Çalışanlarından yararlanan kimlik avı saldırılarında bir önceki yıla kıyasla %104 artış bildirdi.
Tehdit aktörleri, ikna edici kimlik avı sayfaları oluşturmak ve güvenlik kontrollerini atlatmak için platformun güçlü itibarından ve güvenilir markasından yararlanıyor. Bu son kampanya, UAC-0125’in kullandığı taktiklerde bir evrimi temsil ediyor.
Grup, 2024’ün başlarında, ilk saldırı vektörü olarak, kötü amaçlı PowerShell komutlarını çalıştırabilecek truva atı haline getirilmiş bileşenler içeren, öncelikle güvenliği ihlal edilmiş Microsoft Office dosyalarını kullandı.
Bu kampanyanın keşfedilmesi, meşru gibi görünen kaynaklardan bile uygulama indirirken daha dikkatli olunması gerektiğinin altını çiziyor.
Kuruluşlara ve kişilere, çok faktörlü kimlik doğrulama, düzenli sistem güncellemeleri ve kimlik avı girişimlerini belirleme konusunda çalışanların eğitimi dahil olmak üzere sağlam güvenlik önlemleri almaları tavsiye ediliyor.
Tehdit aktörleri güvenilir platformlarda yenilik yapmaya ve bunlardan yararlanmaya devam ettikçe, siber güvenlik topluluğunun bu gelişen tehditlere karşı koruma sağlamak için savunma stratejilerinde dikkatli ve uyumlu kalması gerekiyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin