Bilgisayar korsanları Outlook ve WinRAR açıklarından yararlanıyor çünkü bu yaygın olarak kullanılan yazılım programları kazançlı hedefler.
Outlook güvenlik açıkları şunları sunar: –
- Hassas e-postalara erişim
- Hassas bilgilere erişim
WinRAR güvenlik açıkları, sıkıştırılmış dosyaları yönetmek için bir giriş noktası sağlar ve potansiyel olarak kurbanın sisteminde kötü amaçlı kod çalıştırabilir.
Proofpoint’teki siber güvenlik araştırmacıları yakın zamanda TA422 APT Group’un kuruluşlara saldırmak için Outlook ve WinRAR güvenlik açıklarından aktif olarak yararlandığını keşfetti.
Yamalı Güvenlik Açıklarından Yararlanma
Proofpoint, Mart 2023’ten bu yana Rus APT TA422’nin Avrupa ve Kuzey Amerika’yı hedef almak için yamalı güvenlik açıkları kullandığını tespit etti. TA422 APT grubu aşağıdaki gruplarla bağlantılıdır ve ABD İstihbarat Topluluğu tarafından Rus GRU’suna bağlıdır: –
Tipik hedefli eylemler gerçekleştirirken TA422, bir Microsoft Outlook güvenlik açığı olan CVE-2023-23397’yi kullanan e-postalarda beklenmedik bir artış gösterdi ve farklı sektörlere 10.000’den fazla e-posta gönderdi.
Bunun yanı sıra TA422 APT grubunun operatörleri, kampanyalarında WinRAR’daki CVE-2023-38831 adlı güvenlik açığından da yararlandı.
TA422, Mart 2023’te CVE-2023-23397’yi aşağıdaki hedeflere karşı kullanarak büyük kampanyalar başlattı: –
Daha önce, Nisan 2022’de aynı istismarı kullanarak Ukraynalı varlıkları hedef almışlardı. Proofpoint, 2023 yazının sonlarında Microsoft Outlook güvenlik açığından yararlanmaya yönelik 10.000’den fazla girişimle etkinlikte önemli bir artış olduğunu fark etti.
Bunun bir hata mı yoksa hedef kimlik bilgilerini toplamak için kasıtlı bir çaba mı olduğu belli değil. TA422, yüksek öğrenim ve üretim kullanıcılarını yeniden hedefleyerek bu kuruluşların öncelikli hedefler olduğunu öne sürdü.
Yaz sonu kampanyasında TA422, sahte dosya uzantısına sahip bir randevu eki kullandı ve bu durum, güvenliği ihlal edilmiş bir Ubiquiti yönlendiricisindeki bir SMB dinleyicisine yol açtı.
Bu yönlendirici, Outlook eki işlerken kapsamlı ağ etkileşimi olmadan gelen kimlik bilgisi karmalarını kaydeden bir NTLM dinleyicisi görevi gördü.
Proofpoint’in Portekiz posta adreslerini izlemesi daha fazla TA422 faaliyeti ortaya çıkardı. Eylül 2023’te TA422, farklı Portekiz posta adresleri kullanarak ve jeopolitik varlıkları yanıltarak WinRAR’ın CVE-2023-32231 numaralı güvenlik açığından iki kampanyada yararlandı.
BRICS Zirvesi ve Avrupa Parlamentosu toplantısı konularını içeren e-postalar, bir .cmd dosyası bırakan RAR ekleri içeriyordu.
Dosya, proxy ayarlarını değiştirdi ve bir yem belgesi indirdi ve bir IP-literal Responder sunucusuna bağlandı. Muhtemelen Fortigate FortiOS Güvenlik Duvarı’nın ele geçirildiği sunucu, NTLM kimlik bilgisi alışverişini başlattı.
Eylül ve Kasım 2023 arasında Proofpoint, yönlendirme için Portekiz postası ve Mockbin’i kullanarak TA422 kampanyalarını izledi.
Hükümet ve savunma sektörlerini hedef alan TA422, mağdurları InfinityFree alanlarına yönlendirmek için Mockbin’i kullandı. Tarayıcı parmak izinin alınmasının ardından kurbanlar InfinityFree’ye yönlendirilerek bir faaliyet zinciri başlatıldı.
CVE-2023-23397 ve CVE-2023-38831 gibi açıklanan güvenlik açıklarından yararlanılmasına rağmen TA422 varlığını sürdürüyor ve muhtemelen sürekli başarı için yama uygulanmamış sistemlere güveniyor.
IOC’ler
