Yazan: Brett Raybould – EMEA Çözüm Mimarı, Menlo Güvenlik
XeGroup, modern saldırı tekniklerini kullanan gelişmiş tehdit gruplarının artık kuruluşlara verebileceği anlatılmamış zararın en iyi örneğidir.
En az 2013’ten bu yana aktif olduğu bilinen ve diğer siber suç örgütleriyle ve devlet destekli bilgisayar korsanlığı gruplarıyla bağlantılı olan Vietnam siber suç ekibi, daha önce ABD merkezli şirketlerden 30 milyon dolardan fazla para çalmıştı.
Ancak grubun kurbanlarına saldırmak için kullandığı teknikler hiçbir şekilde doğrusal ya da öngörülebilir değildir.
Geçtiğimiz on yılda XeGroup, tedarik zinciri saldırıları, kullanıcıları kişisel bilgilerini ifşa etmeleri yönünde kandırmak için sahte web siteleri oluşturulması, kötü amaçlı kodlarla güvenliği ihlal edilmiş web siteleri ve mobil uygulamalar ve satışların da aralarında bulunduğu çok çeşitli hain kampanyalardan sorumlu olarak gösterildi. Dark Web’de çalınan veriler.
Bu makalede, grubun kuruluşundan bu yana kullandığı dört farklı saldırı yöntemini inceleyeceğiz.
#1 – Kötü amaçlı JavaScript web sayfası yerleştirme
XeGroup’un, rakiplerinin Magento e-ticaret platformlarındaki ve Adobe ColdFusion sunucu yazılımındaki güvenlik açıklarından yararlanma konusunda başarılı olduğu, web sayfalarına kötü amaçlı JavaScript enjeksiyonu içeren saldırılarla tanınan bir teknik.
Bu faaliyetler ilk olarak 2013 yılında dünya çapındaki perakende mağazalarındaki satış noktası (PoS) sistemlerine, bu amaç için özel olarak oluşturulmuş bir kimlik bilgisi doldurma araç seti olan “Snipr” kötü amaçlı yazılımının başarıyla sızdığı zaman tespit edildi.
Burada XeGroup, finansal ayrıntıları doğrudan çaldı ve aynı zamanda PayPal ve eBay gibi meşru şirketlerle ilişkili sahte alanlar kullanılarak gönderilen kimlik avı e-postaları aracılığıyla kurumsal ağlara erişmeye çalıştı.
Bu kampanya, güvenlik firması Volexity’den araştırmacıların grupla ilgili bulguları dünya çapındaki kolluk kuvvetlerine yayınlamasının ardından saldırı grubunun çökertildiği ve sonuçta grup üyelerinin çok sayıda tutuklanmasıyla sonuçlanan Ağustos 2020’ye kadar devam etti.
# 2 – CVE-2019-18935’ten Yararlanmak
Buna rağmen Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) son raporları, XeGroup’un geri döndüğünü ve CVE-2019-18935’ten aktif olarak yararlandığını öne sürüyor.
Özellikle bu güvenlik açığı, tehdit aktörleri tarafından Telerik.Web.UI derlemesindeki bir seri durumdan çıkarma güvenlik açığından yararlanarak güvenlik açığı bulunan bir sunucuda uzaktan rastgele kod yürütmek için kullanılabilir.
Bu son kampanyanın Ağustos 2021’den bu yana devam ettiği tahmin ediliyor; CISA, grubun İnternet Bilgi Hizmetlerini (IIS) çalıştıran ABD hükümetinin İnternet’e bakan bir sunucusunun güvenliğini başarıyla ihlal ettiğini öne süren bir öneri yayınladı.
Menlo Labs ekibi, CISA, Volexity ve bu konuyla ilgili kendi telemetrimizden alınan çeşitli raporlardan alınan örnekleri incelerken, XeGroup’un müşteri tabanımızdaki devlet kurumlarını, inşaat kuruluşlarını ve sağlık kuruluşlarını hedef aldığını gözlemledi.
#3 – ASPXSPY web kabukları
ASPXSPY web kabukları XeGroup’un saldırılarında da yaygındır.
Bunlar, tehdit aktörlerinin web sunucularına yetkisiz erişimi güvence altına almasına ve daha fazla saldırı gerçekleştirmesine olanak sağlamak için özel olarak tasarlanmış komut dosyalarıdır. C# ve ASP.NET ile yazılmış basit bir web uygulaması olan ASPXSPY web kabukları, SQL Server veritabanına bağlanmak, SQL komutlarını yürütmek ve sonuçları bir tabloda görüntülemek için bir kullanıcı arayüzü sağlar.
İlginç bir şekilde, Menlo Laboratuvarları ekibi, bu komut dosyalarının içinde, kodu çözüldüğünde “XeThanh|XeGroups” yazan sabit kodlu bir Kullanıcı Aracısı dizisinin bulunduğunu bildiriyor. “ismatchagent()” işlevi, kullanıcı aracısının bu kalıpla eşleşip eşleşmediğini kontrol eder ve kullanıcı aracısının “XeThanh” veya “XeGroups” içermesi durumunda true değerini döndürür. Eğer dize iletişimde mevcut değilse, web kabuğu sahte bir hata sayfası döndürür.
#4 – Kredi kartının gözden geçirilmesi
Bu web kabukları öncelikle kredi kartı bilgilerinin çalınması faaliyetini yürütmek için kullanıldı; Menlo Labs ekibinin müşteri tabanımızda gözlemlediği bir şey bu.
XeGroups’a yapılan atıf, “XeThanh”a yapılan atıf gibi, tehdit aktörü kod altyapısı boyunca tekrarlanıyor. Aslında, 2010’daki bir örnekte, XeThanh kullanıcısının iletişim bilgilerinin bırakıldığı önceki kart kaydırıcılarını görüyoruz.
Bu grup tarafından kullanılan kredi kartı şifreleyicilerinin birkaç örneğini analiz ettik ve kodun gelişiminde küçük farklılıklar olduğunu ancak genel işlevselliğin aynı kaldığını fark ettik. Ancak bu analiz sayesinde geriye dönük olarak bu gruptan başka örneklere bakıp bulmayı başardık.
Aslında, 2014 yılında, tehdit aktörünün, otomatik olarak e-postalar oluşturan autoIT komut dosyaları ve çalıntı kredi kartları için temel bir kredi kartı doğrulayıcı oluşturduğu görüldü.
Çeşitli saldırı yöntemleriyle mücadele
Tehdit aktörlerinin sitelerinin WHOIS geçmişini inceleyen Menlo Labs ekibi, atıf için kullanılabilecek e-posta adreslerini ve diğer tanımlayıcı bilgileri ortaya çıkarmayı başardı. Çok sayıda veriyi tarayarak İnternet’te Joe Nguyen isminin “XeThanh” dizesiyle birlikte kullanıldığı birçok örneği ortaya çıkardık.
Bu bilgilerle donanmış olarak, veri toplamayı en üst düzeye çıkarmak için OSINT araçlarını özenle kullanmaya başladık ve bu da ek bilgilerin keşfedilmesine yol açtı. Aslında, Joe Nguyen ve Thanh Nguyen adlarıyla da anılan Nguyen Huu Tai’nin XeGroup’a dahil olma ihtimalinin en yüksek olduğunu, ayrıca [email protected] e-posta adresinin de ilişkilendirilme ihtimalinin yüksek olduğunu gördük. grupla birlikte.
XeGroup sonuçta düşük ila orta düzeyde tehdit düzeyine sahip bir bilgisayar korsanlığı grubu olmaya devam ediyor. Ancak grubu dağıtmaya yönelik yoğun çabalara rağmen, çeşitli tekniklerle birçok sektörü tehdit etmeye devam etmesi endişe verici.
Gerçekten de grubun giderek daha karmaşık hale gelen saldırı yöntemlerinin bir kombinasyonunu kullanması, kuruluşların güvenlik kurulumlarını geliştirmelerinin, modası geçmiş tespit ve düzeltme çözümlerine aşırı bağımlılıktan uzaklaşarak saldırıları yüzde 100 durdurabilecek teknolojilere yönelmelerinin önemini bir kez daha vurguluyor.
yazar hakkında
Brett Raybould – EMEA Çözüm Mimarı, Menlo Güvenlik. Brett, güvenlik konusunda tutkulu ve en kritik varlıklarını korumak isteyen kuruluşlara çözümler sunuyor. Web ve e-posta üzerinden gelen tehditlerin tespit edilmesinin yanı sıra veri kaybı önleme konusunda da uzmanlaşmış çeşitli 1. kademe sağlayıcılarda 15 yılı aşkın bir süre çalışmış olan Brett, 2016 yılında Menlo Security’ye katıldı ve izolasyonun, algılamanın getirdiği sorunları çözmek için nasıl yeni bir yaklaşım sağladığını keşfetti. tabanlı sistemlerle mücadeleye devam ediyoruz.