Siber güvenlik uzmanları tarafından yapılan yakın tarihli bir soruşturma, “Uzay Korsanları” olarak bilinen kötü şöhretli ileri süren tehdit (APT) grubu tarafından düzenlenen bir dizi gelişmiş siber saldırıyı tanıttı.
LuckyStrike Ajan Backdoor da dahil olmak üzere özelleştirilmiş kötü amaçlı yazılım cephaneliğinden yararlanan grup, Rusya ve komşu bölgelerdeki BT kuruluşlarını ve devlet kurumlarını hedefliyor.
Saldırılar, Microsoft’un OneDrive platformunu bir komut ve kontrol (C2) kanalı olarak yenilikçi kullanımı ile işaretlendi ve gizli iletişim ve veri açığa çıktı.
Belirli raporlarda “erudit mogwai” olarak da adlandırılan uzay korsanlarının 2017 yılına dayanan siber casusluk kampanyaları geçmişi var.
En son faaliyetleri, BT altyapısından ödün verilen bir soruşturma sırasında Kasım 2024’te tespit edildi.
Saldırganlar, STOWAWAY ve Shadowpad Light gibi açık kaynaklı araçları ihtiyaçlarına uyacak şekilde uyarlayarak yüksek derecede teknik gelişmişlik gösterdiler.
Bu araçlar tespitten kaçınmak ve kurban ağlarında yanal hareketi kolaylaştırmak için değiştirildi.
LuckyStrike: Çok fonksiyonlu bir arka kapı
Space Pirates’in araç setinin merkezinde, daha önce benzer kötü amaçlı yazılımlarda gözlemlenmeyen özelliklere sahip .NET tabanlı bir arka kapı olan LuckyStrike Ajan var.
Bu araç, OneDrive’ı bir C2 platformu olarak kullanır, saldırganların komutlar vermesine, hassas verileri almasına ve şüphe yaratmadan kalıcılığı korumasına olanak tanır.
OneDrive kullanımı, bulut hizmetlerine trafik genellikle geleneksel güvenlik çözümleri tarafından iyi huylu olarak kabul edildiğinden, ek bir şaşkınlık katmanı sağlar.
LuckyStrike’ın işlevselliği, uzaktan görev yürütme, keşif ve veri açığa çıkmasını içerir.
Kötü amaçlı yazılım tasarımı, grubun casusluk üzerine odaklanmasını yansıtır ve hedefli saldırılar havacılık, enerji ve kamu yönetimi gibi yüksek değerli sektörlerden gizli bilgileri çıkarmayı amaçlamaktadır.
STOWAWAWAWE FORK’da teknik yenilikler
Uzay Korsanları, başlangıçta penetrasyon testi için tasarlanmış STOWAWAWAY Proxy aracının özel bir versiyonunu geliştirdi.
Değişiklikleri arasında LZ4 kullanan trafik sıkıştırma, XXTEA algoritması yoluyla şifreleme ve QuiC protokolü desteği bulunmaktadır.
Solar Raporuna göre, bu geliştirmeler tespit edilen sistemler arasında güvenli ve verimli bir iletişimi sağlarken, tespit çabalarını karmaşıklaştırır.
Saldırganlar, kurban ağları aracılığıyla kötü niyetli trafiği yönlendirmek için öncelikle bir SOCKS5 vekil olarak STOWAWAWE kullandılar.
Orijinal araçtan gereksiz özellikler çıkararak ve benzersiz protokol yapılarını tanıtarak, algılama imzalarını en aza indirirler.
Grubun açık kaynaklı kamu hizmetlerini uyarlama yeteneği, teknik uzmanlıklarının ve becerikliliklerinin altını çiziyor.
Saldırı kampanyası, Space Pirates’in halka açık Web hizmetleri aracılığıyla ilk erişimi kazandığı Mart 2023’ten daha geç başlamadı.
19 ay boyunca, 2024’ün sonlarında tespit edilmeden önce yavaş yavaş kurban ağlarına sızdılar.
Bu dönemde, keşif, yanal hareket ve kalıcılık için 20’den fazla farklı araç kullandılar.
Meydan okulu sistemler arasında Active Directory sunucuları ve yönetim iş istasyonları gibi kritik altyapı bileşenleri yer aldı.
Bazı durumlarda, saldırganlar hassas hesaplara erişmek için kaba kuvvet tekniklerini kullandılar.
Kapsamlı çabalarına rağmen, saldırganlar nihayetinde koordineli olay müdahale önlemleri ile tanımlandı.
Space Pirates’in kampanyası, kötü niyetli amaçlar için OneDrive gibi meşru bulut hizmetlerinden yararlanan APT gruplarının yarattığı artan tehdidi vurgulamaktadır.
Açık kaynaklı araçları son derece etkili kötü amaçlı yazılımlara uyarlama yetenekleri, BT kuruluşlarında gelişmiş algılama yeteneklerine ve proaktif savunma stratejilerine olan ihtiyacı göstermektedir.
Bulut etkinliğinin ve sağlam ağ segmentasyonunun gelişmiş izlenmesi, bu tür sofistike tehditlere karşı koymak için temel önlemlerdir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free