Turla, DeliveryCheck ve Kazuar arka kapıları / bilgi hırsızları ile Ukrayna ve Doğu Avrupa’daki savunma sektörü kuruluşlarını hedefliyor ve bunları kontrol etmek için güvenliği ihlal edilmiş Microsoft Exchange sunucularını kullanıyor.
Turla APT
Turla (namı diğer Secret Blizzard, Snake, UAC-0003), 10 yılı aşkın süredir aktif olan ve Rus devleti tarafından desteklendiğine inanılan sofistike ve kalıcı bir APT grubudur.
Grup, hükümet ve askeri kuruluşları hedef alan birçok siber saldırının yanı sıra, Rus hükümetinin yararlı bulabileceği bilgilere sahip diğer kuruluşlara yönelik siber casusluk kampanyalarıyla bağlantılıdır.
saldırı
Bu son halka açık saldırı turu, (muhtemelen güvenliği ihlal edilmiş) UKR.NET e-posta hesaplarından gelen e-postalarla başladı, kötü amaçlı makrolar içeren belgeler teslim etti ve DeliveryCheck (CAPIBAR, GAMEDAY) arka kapı kötü amaçlı yazılımının indirilmesini tetikledi.
CAPIBAR kötü amaçlı yazılım saldırı zinciri (Kaynak: CERT-UA)
Kötü amaçlı yazılım, rclone gibi açık kaynaklı araçlar yoluyla dosya hırsızlığını ve bazı durumlarda Kazuar adlı ek bir arka kapının indirilmesini ve konuşlandırılmasını içerebilen “siparişlerini” almak için C2 sunucusuna bağlanır.
Microsoft, Kazuar’ın “tam özellikli bir implant” olduğunu söylüyor. CERT-UA’ya (Ukrayna Bilgisayar Acil Müdahale Ekibi) göre Kazuar, diğer şeylerin yanı sıra işletim sistemi günlüklerinden veri toplamasına, kimlik doğrulama verilerini (şifreler, yer imleri, otomatik doldurma, geçmiş, proxy’ler, tanımlama bilgileri vb.) ve KeePass, Azure, Gcloud, AWS, BlueMix ve diğerleri gibi uygulamaların veritabanlarını/yapılandırma dosyalarını çalmasına izin veren 40’tan fazla işlevi uygulayabilir.
Microsoft, “Tehdit aktörü, özellikle, aktörün özel Signal konuşmalarının yanı sıra hedeflenen sistemlerdeki belgeleri, görüntüleri ve arşiv dosyalarını okumasına izin verecek olan popüler Signal Desktop mesajlaşma uygulamasından mesajlar içeren dosyalara sızmayı hedefliyor” dedi.
Turla, güvenliği ihlal edilmiş Microsoft Exchange sunucularını kullanıyor
Turla ayrıca, DeliveryCheck kötü amaçlı yazılımının sunucu tarafı bileşenlerini Microsoft Exchange sunucularına yüklemek için yöneticilerin Linux ve Windows yapılandırmasını otomatikleştirmesine olanak tanıyan bir PowerShell özelliği olan İstenen Durum Yapılandırmasını (DSC) kullandı.
“DSC, katıştırılmış .NET yükünü belleğe yükleyen ve meşru bir sunucuyu etkili bir şekilde kötü amaçlı bir C2 merkezine dönüştüren bir PowerShell betiği içeren bir yönetilen nesne biçimi (MOF) dosyası oluşturur” Microsoft açıkladı.