Geçen hafta, Ukrayna’nın Ana İstihbarat Müdürlüğü (GUR), önde gelen bir Rus drone üreticisi olan Gaskar entegrasyonuna karşı sofistike bir siber saldırı düzenledi.
Operasyon, tehdit aktörlerinin savunmasız uzak masaüstü hizmetlerini ve eski VPN ağ geçitlerini belirlediği şirketin kamuya dönük altyapısının keşifleriyle başladı.
Üçüncü taraf bir web uygulaması güvenlik duvarında sıfır günden yararlanan saldırganlar, kurumsal ağ içinde ilk taban kazandı. İçeri girdikten sonra, yanal hareket ve hasat kimlik bilgilerini yürütmek için Windows Management Enstrümantasyonu’ndan (WMI) kullanan özel kötü amaçlı yazılımlar kullandılar.
Hromadske analistleri, kötü niyetli yükün C ++ ve PowerShell’de yazılmış bir çift aşamalı yükleyici içerdiğini belirtti.
İlk aşama, kötü niyetli bir WMI aboneliği yoluyla kalıcılık oluştururken, ikinci aşama bellekte bir ters kabuk implantını çözdü.
İletişim, şirketin kendi genel anahtar altyapısını taklit eden sahte sertifikalar kullanılarak TLS üzerinden tünellendi.
Kötü amaçlı yazılımların komut ve kontrol (C2) altyapısı, tehlikeye atılan endüstriyel kontrol sistemi sunucularında barındırıldı ve ilişkilendirmeyi ve yayından kaldırma çabalarını daha da karmaşıklaştırdı.
Savunucular anormal ağ trafiğini tespit ettiklerinde, saldırganlar drone tasarım şemaları, üretim günlükleri ve çalışan kayıtları da dahil olmak üzere 47 TB’den fazla teknik veriyi ortadan kaldırmışlardı.
Mağdurun sunucularındaki tüm yedek kopyalar geri dönüşü olmayan bir şekilde silindi ve Gaskar’ın üretim ve muhasebe operasyonlarını etkili bir şekilde sakatladı.
İşçiler üretim yazılımı ve fiziksel erişim sistemlerinden kilitlendi ve sadece yangın çıkışları fonksiyonel kaldı.
Hromadske araştırmacıları implantın temel modüllerini tersine mühendislik yaparak tanımladılar.
Enfeksiyon mekanizması
Kötü amaçlı yazılım enfeksiyon mekanizması bir WAF baypasının sömürülmesine bağlıdır. Erişim kazandıktan sonra, saldırganlar, baz kodlu bir PowerShell One-Liner’ı gerçekleştiren 15 kb’den daha az olan küçük bir damlalık yüklediler.
Bu komut dosyası sabit kodlu bir C2 alanına ulaştı, şifreli bir yük yükü indirdi ve disk tabanlı algılamadan kaçınmak için tamamen belleğe çağırdı.
Kalıcı WMI olay filtresi aşağıdaki gibi hazırlandı:-
$filter = Set-WmiInstance -Namespace root\subscription -Class __EventFilter `
-Arguments @{
Name = "SysUpdateFilter"
EventNameSpace = "root\cimv2"
QueryLanguage = "WQL"
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_LocalTime'"
}
Set-WmiInstance -Namespace root\subscription -Class __FilterToConsumerBinding `
-Arguments @{
Filter = $filter
Consumer = $consumer
}Bu, her sistem saatinde yürütülmesini sağlar ve yeniden başlatıldıktan sonra bile implant yüksek hayatta kalma sağlar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.