2023’te Cisco Talos tarafından ortaya çıkarılan endişe verici bir siber güvenlik ihlali’nde, kritik bir altyapı işletmesi, birden fazla tehdit aktörünü içeren titizlikle düzenlenmiş bir saldırının kurbanı oldu.
Finansal olarak motive olmuş bir varlık olarak orta güvenle “oyuncak” olarak tanımlanan ilk erişim brokeri, ağa sızmak için İnternet’e dönük sunuculardaki güvenlik açıklarından yararlandı.
Kritik altyapıya yönelik sofistike çok aktörlü bir saldırı
“Lagtoy” adlı özel bir arka kapı kullanan Toyer, bir hafta içinde çok sayıda ana bilgisayarda hızlı keşif, kimlik bilgisi hasat ve arka kapı dağıtımını gerçekleştirdi.
.png
)
Taktikleri, ikincil bir aktörün saldırıyı artırması için zemin hazırlayarak çift kullanımlı uzaktan uygulama araçları, SSH yardımcı programları ve dosya aktarım mekanizmalarını içeriyordu.
Üç haftalık bir durgunluktan sonra, ağ proliferasyonu, veri eksfiltrasyonu ve fidye yazılımı dağıtım yoluyla uzlaşmayı derinleştirmek için çalıntı kimlik bilgilerinden yararlanan çift gasp şemaları için kötü şöhretli kaktüs fidye yazılımı çetesine erişim teslim edildi.
İlk ihlalden çift gasp taktiklerine kadar
Toyer’ın ilk hamleleri, kalıcılık için ‘destek’ gibi sahte kullanıcı hesapları oluşturmanın yanı sıra “Whoami” ve “Ipconfig” gibi komutlarla sistem bilgisi keşfini içeriyordu.
Beklenen TLS protokollerini atlayarak ham soketleri kullanarak 443 bağlantı noktası üzerinden sabit kodlu bir C2 sunucusu ile iletişim kuran Mantiant tarafından Helerun olarak da bilinen sofistike bir arka kapı olan Lagtoy İmplantını kullandılar.
‘WMIPRVSV’ adlı bir hizmet olarak yüklenen Lagtoy, uyku aralıkları ve bekçi rutinleri ile gizli bir çalışma sağlayan anti-tahrip önlemler ve zamana dayalı yürütme mantığına sahiptir.
Kimlik bilgisi çıkarma, Magnet RAM yakalama gibi araçlarla kolaylaştırıldı, hasat edilen veriler 7ZA.EXE kullanılarak arşivlendi ve Putty’nin SCP yardımcı programı aracılığıyla eksfiltratlandı.
Devreyi takiben, kaktüs, uzun vadeli erişim için AnyDesk, Ehorus ve OpenSsh gibi araçları kullanarak, gasp için kapsamlı uç nokta numaralandırması, sunucu taramaları ve veri arşivleme gerçekleştirdi.
Operasyonları, hacim gölge kopyalarının silinmesi, önyükleme kurtarma ayarlarının değiştirilmesini ve fidye yazılımlarını kötü amaçlı hesaplar aracılığıyla dağıtmayı ve komut geçmişlerini ve ağ günlüklerini temizleyerek parçaları titizlikle kapsar.
Bu saldırı, Toyerer gibi ilk erişim brokerlerinin kaktüs gibi fidye yazılım iştiraklerinin yolunu açtığı modern siber tehditlerin bölümlü ancak birbirine bağlı doğasının altını çiziyor.
Rapora göre, Cisco Talos bu tür aktörler için farklı tehdit modelleme ihtiyacını vurgulayarak gelecekteki analizlerde bu ilişkileri izlemek için yeni metodolojiler öneriyor.
İki grup arasındaki taktikler, teknikler ve prosedürlerdeki (TTP’ler) eşitsizlik, siber suçlu ekosistemlerin gelişen karmaşıklığını vurgular ve bu çok aşamalı saldırıları tespit etmek ve azaltmak için güçlü uç nokta güvenliği ve ağ izleme çözümlerini gerektirir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| Lagtoy karma | Fdf977f0c20e7f42dd620db42d20c561208f85684d3c9efd12499a3549be3826 |
| Metasploit kabukları | 0A367cc7e7e297248fad57e27f8316b760678db9468f59031fed811cfe4867 dahil olmak üzere çoklu karmalar |
| Toyer Ağı IOCS | 209.141.43.37, 194.156.98.155, 158.247.211.51, 39.106.141.68, diğerleri |
| Kaktüs Ağı IOCS | 206.188.196.20, 51.81.42.234, 178.175.134.52, 162.33.177.56, diğerleri |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!