xHunt gelişmiş kalıcı tehdit grubu, Kuveyt’teki kuruluşlara karşı hedefli kampanyalar düzenleyen, kendisini gelişmiş bir siber casusluk aktörü olarak sağlam bir şekilde kanıtlamıştır.
Grup, 2018 yılında ortaya çıkışından bu yana dikkatle hükümet, denizcilik ve taşımacılık sektörlerine odaklandı.
Operasyonları, Hunter x Hunter anime serisinden türetilmiş isimleri taşıyan birçok araçtan oluşan, özel ve gelişen bir araç setinin kullanılmasıyla karakterize edilir.
Bu benzersiz adlandırma kuralı, Hisoka ve Netero gibi özel kötü amaçlı yazılım çeşitleri aracılığıyla kritik altyapıya sızma ve hassas bilgileri toplama yönündeki ısrarlı çabaya eşlik ediyor.
xHunt tarafından kullanılan saldırı vektörleri çok çeşitlidir; genellikle stratejik su kuyusu saldırılarıyla veya web’e bakan Microsoft Exchange ve IIS sunucularının doğrudan tehlikeye atılmasıyla başlar.
Özellikle yeni bir teknik, gizliliği ihlal edilmiş hükümet web sitelerine gizli HTML etiketleri enjekte etmeyi, ziyaretçileri NTLM hash’lerini toplamak için aktör kontrollü sunuculara yönlendirmeyi içerir.
Bu pasif kimlik bilgisi hırsızlığı, saldırganların, toplanan verileri ağ içindeki diğer sistemleri tehlikeye atmak için kullanarak anında tespit edilmeden yetkisiz erişim elde etmesine olanak tanır.
Grup, uzun vadeli erişimi sürdürmek için bir dizi özel arka kapı kullandığından, bu izinsiz girişlerin etkisi derindir.
Picus Güvenlik analistleri, bu ayırt edici davranışları gözlemledikten sonra kötü amaçlı yazılımı belirlediler ve grubun meşru ağ trafiğine karışma becerisine dikkat çektiler.
BumbleBee web kabuğu ve TriFive ve Snugy gibi PowerShell tabanlı arka kapılar gibi araçlar, saldırganların keyfi komutlar yürütmesine olanak tanır.
Saldırganlar, komuta ve kontrol için Exchange Web Hizmetleri’nden yararlanarak, Silinmiş Öğeler klasöründeki e-posta taslakları aracılığıyla iletişim kurar ve bu da tespit çalışmalarını daha da karmaşık hale getirir.
Kalıcılık ve Savunmadan Kaçınma Mekanizmaları
xHunt’un metodolojisinin kritik bir yönü, PowerShell arka kapılarının kalıcılığını sağlamak için zamanlanmış görevlere güvenmeleridir. Bir sistemin güvenliği ihlal edildiğinde, saldırganlar kötü amaçlı komut dosyalarını belirli aralıklarla, genellikle birkaç dakikada bir çalıştıran görevler oluşturur.
Bu görevler, meşru Windows işlemlerini taklit ederek ve dosyaları güvenilir dizinlere yerleştirerek tespit edilmekten kaçınmak için titizlikle tasarlanmıştır.
Örneğin grup, yüklerini planlamak için belirli komutlar kullanıyor: –
schtasks /create /sc MINUTE /mo 5 /tn "\Microsoft\Windows\SideShow\SystemDataProvider" /tr "powershell -exec bypass -file C:\Windows\Temp\xpsrchvw.ps1" /ru SYSTEMBu komut, Snugy arka kapısını yürütmek için yüksek ayrıcalıklarla çalışan, SystemDataProvider kılığına girmiş bir görev oluşturur.
Ek olarak xHunt aktörleri, görevleri Windows Teşhis Altyapısı dizinine yerleştirmek ve bunları yasal sistem dosyalarına benzeyecek şekilde ÇözünürlükHostları olarak adlandırmak gibi maskeleme teknikleri kullanır.
Bu kaçma taktikleri, yanal hareket için SSH tünellerinin kullanılmasıyla birleştiğinde, xHunt’u etkili bir şekilde tespit etmek için kapsamlı davranışsal izleme gerektiren dayanıklı ve yakalanması zor bir tehdit haline getiriyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
