“0ktapus”, “Octo Tempest” ve “dağınık örümcek” ile ilişkili finansal olarak yönlendirilmiş bir tehdit organizasyonu olan UNC3944, perakende, havayolu ve sigorta endüstrilerindeki VMware vSphere ortamlarını hedeflemek için sosyal mühendislik ve hipervizör seviyesi saldırıları kullanan sofistike bir siber kampanya başlattı.
Google Tehdit İstihbarat Grubu (GITG), ABD perakende organizasyonlarını hedefleyen yükseltme konusunda FBI uyarılarını takiben kampanyayı 2025 ortalarında belirledi.
Tehdit aktörleri, güvenlik araçlarının sınırlı görünürlüğe sahip olduğu hipervizör düzeyinde doğrudan çalışarak geleneksel uç nokta tespiti ve yanıt (EDR) çözümlerini atlayan kanıtlanmış bir “arazi yaşamı” (LOTL) metodolojisi kullanırlar.
In Short
1. Phone impersonation to reset AD passwords and escalate to vSphere admin groups via net.exe commands.
2. Exploit vCenter to modify GRUB bootloaders for root access and install "teleport" reverse shells.
3. Power down VMs, detach .vmdk files, and extract NTDS.dit offline before ransomware deployment.
UNC3944’ün Sosyal Mühendislik Saldırı Zinciri
UNC3944’ün saldırı zinciri, sofistike telefon tabanlı sosyal mühendislik ile başlıyor.
Mantiant, tehdit aktörlerinin, yardım masalarını Active Directory şifrelerini sıfırlamaya ikna etmek için önceki veri ihlallerinden halka açık kişisel bilgileri kullanan çalışanları taklit ettiğini bildiriyor.
İçeri girdikten sonra, özellikle “vsphere admins” veya “ESX yöneticileri” grupları gibi ayrıcalıklı hesapları ortaya çıkaran BT belgelerini avlayan SharePoint siteleri ve ağ sürücüleri aracılığıyla keşif yapıyorlar.
Saldırganlar daha sonra Net.exe Group “ESX Adims” ACME-CORP \ Temp-ADM-BKDR /ADD gibi komutları kullanarak kritik güvenlik gruplarına Windows Remote Management (WINRM) aracılığıyla yürütüldü.
Güvenlik ekipleri, AD olay kimliği 4728 (güvenlik özellikli küresel gruba eklenen üye) için ve wsmprovhost.exe işlemini şüpheli grup değişiklikleriyle ilişkilendirerek bu etkinliği tespit edebilir.
VCenter erişimi kazandıktan sonra UNC3944, VCenter Server Cihazının (VCSA) sofistike bir devralmasını yürütür. Console erişiminden aletleri yeniden başlatmak ve Grub Bootloader’ı init =/bin/bash ile değiştirerek şifresiz kök erişimi elde ederek değiştirirler.
Grup daha sonra, güvenlik duvarı çıkış kurallarını atlayan şifreli ters kabuklar oluşturarak meşru bir açık kaynaklı uzaktan erişim aracı olan “Teleport” i yükler.
Kritik algılama sinyalleri, yetkisiz SSH hizmet etkinleştirmesini yakalamak için VCSA’dan uzaktan syslog yönlendirme uygularken vim.event.vmreconfiguredevent ve userloginsessionEvent gibi vCenter olaylarının izlenmesini içerir.
Kuruluşlar, vCenter sunucularından ve C2 iletişimini gösterebilecek olağandışı giden bağlantılardan anormal DNS isteklerini izlemelidir.
Sanal disk manipülasyonu yoluyla veri pessfiltrasyonu
En yıkıcı aşama, sanal disk manipülasyonu yoluyla çevrimdışı kimlik hırsızlığı içerir.
UNC3944, etki alanı denetleyicisi VM’lerini tanımlar, güçlendirir ve sanal disklerini (.vmdk dosyalarını) tehlikeye atılmış “yetim” VM’lere eklemeden önce ayırır.
Bu teknik NTDS.DIT Active Directory Veritabanının çıkarılmasını sağlarken, en iyi güvenlik çözümlerini tamamen atlar.
Kuruluşlar, Seviye 0 varlıkları için vSphere VM şifrelemesini uygulayarak, ESXI kilitleme modunu etkinleştirerek ve imzasız ikili yürütmeyi önlemek için ExecInstalledonly Çekirdek ayarını uygulayarak bu saldırı vektörüne karşı savunabilir.
Grubun nihai fidye yazılımı dağıtımı, veri deposu dosyalarını şifrelemeden önce VMS’yi kapatmak için yerel VIM-CMD aracını kullanır ve hipervizör seviyesi sertleşmeyi önleme için gerekli hale getirir.
Güvenlik ekipleri, fidye yazılımı dağıtım gerçekleşmeden önce UNC3944’ün sanallaştırılmış ortamlarda metodik ilerlemesini tespit etmek için vCenter etkinliklerinden, ESXI denetim günlüklerinden ve Active Directory’den kapsamlı bir günlük uygulaması gerekir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi