xHunt gelişmiş kalıcı tehdit grubu, özel olarak oluşturulmuş arka kapılara sahip Microsoft Exchange ve IIS web sunucularını hedef alan karmaşık saldırılar yoluyla önemli bir siber güvenlik riski oluşturmaya devam ediyor.
Bu son derece odaklanmış siber casusluk operasyonu, başta denizcilik, taşımacılık ve hükümet sektörleri olmak üzere, öncelikli olarak Kuveyt’teki kuruluşları hedef alan, çok yıllı, kalıcı kampanyalar yürütmüştür.
İlk olarak Temmuz 2018’de tanımlanan xHunt, adını grubun adının arkasındaki ilham kaynağı olan popüler anime dizisi “Hunter x Hunter”daki karakterlerden alan kötü amaçlı yazılımları kullanan benzersiz, gelişen bir araç seti ile farkını ortaya koyuyor.
SectorD01, Hive0081, Cobalt Katana ve Hunter Serpens olarak da takip edilen tehdit aktörleri, saldırı metodolojilerinde olağanüstü teknik yetenekler ve yaratıcılık sergiledi.
Grup, doğrudan sunucu ihlallerinden ayrıntılı kimlik bilgisi toplama operasyonlarına kadar çeşitli sızma teknikleri kullanıyor.
En yenilikçi taktiklerinden biri, Kuveyt hükümetinin güvenliği ihlal edilmiş bir web sitesine yapılan sulama deliği saldırısıydı.
Saldırganlar, otomatik tarayıcı kimlik doğrulama girişimlerini tetikleyerek ziyaretçilerden pasif olarak NTLM karmalarını toplamak için tasarlanmış, aktör kontrollü bir sunucuya işaret eden gizli bir HTML resim etiketi enjekte etti.
Bu teknik, file:// URI şemasını kullanarak kötü amaçlı bir SMB paylaşım referansından yararlandı ve güvenliği ihlal edilmiş sayfayı ziyaret eden kullanıcıların NTLMv2 karmalarını otomatik olarak yakaladı.
Özel Arka Kapı Arsenal
Microsoft Exchange ve IIS web sunucularının doğrudan ele geçirilmesi durumunda xHunt, gelişmiş bir özel arka kapı paketi dağıtır.
BumbleBee web kabuğu, güvenliği ihlal edilmiş sunucularda doğrudan komut yürütülmesine olanak tanırken, TriFive ve CASHY200’ün bir çeşidi olan Snugy gibi PowerShell tabanlı arka kapılar kurban ağlarına kalıcı erişim sağlar.
Bu araçlar, grubun gelişmiş programlama yeteneklerini ve Windows altyapısına ilişkin derin anlayışını göstermektedir.
Belki de en dikkate değer olan, xHunt’ın komuta ve kontrol iletişimine yaratıcı yaklaşımıdır. Hisoka ve TriFive arka kapıları, güvenliği ihlal edilmiş kullanıcı posta kutuları içindeki e-posta taslaklarını okuyup yazarak iletişim kurmak için Exchange Web Hizmetlerini kullanır ve açıkça Taslaklar veya Silinmiş Öğeler klasörlerini hedef alır.
Bu teknik, saldırganların kötü amaçlı iletişimleri meşru e-posta trafiğiyle birleştirmesine olanak tanıyarak tespit çalışmalarını önemli ölçüde karmaşık hale getirir.
TriFive arka kapısı, daha önce çalınan kimlik bilgilerini kullanarak meşru kullanıcı posta kutularına giriş yaparak, e-posta taslakları olarak depolanan PowerShell veri yüklerini alarak ve “555” konu satırına sahip şifreli ve base64 kodlu taslak mesajlar yoluyla iletilen komutları çalıştırarak bu yaklaşımın örneğini teşkil etmektedir.
Operasyonel Zaman Çizelgesi
Grubun ana faaliyetleri arasında Mayıs ve Haziran 2019 arasında Kuveyt’teki Hisoka, Sakabota, Netero ve Killua adlı arka kapılara sahip nakliye ve nakliye firmalarını hedef alan kampanyalar yer alıyor.
2019-2020 döneminde xHunt aktörleri, uzun vadeli kalıcılık sağlamak için BumbleBee web kabuğunun yanı sıra TriFive ve Snugy PowerShell arka kapılarını konuşlandırarak Kuveyt kuruluşlarındaki Microsoft Exchange Sunucularını tehlikeye attı.
Erişimi sürdürmek için xHunt, PowerShell arka kapılarını düzenli aralıklarla yürüten zamanlanmış görevlerden yararlanır ve genellikle tespitten kaçınmak için meşru Windows sistem görevleri gibi görünür.
Grup ayrıca, LSASS belleğinden kimlik bilgilerinin boşaltılması, düz metin parola depolamayı etkinleştirmek için kayıt defteri değişiklikleri ve kökenlerini gizlemek için birden fazla ülkeyi kapsayan VPN altyapısının kullanılması dahil olmak üzere gelişmiş savunma kaçırma yeteneklerini de gösteriyor.
Kuruluşlar, gerçek dünyadaki saldırı senaryolarını simüle eden güvenlik doğrulama platformlarını kullanarak savunmalarını xHunt taktiklerine karşı test edebilir ve güvenlik ekiplerinin gerçek tehditlerle karşılaşmadan önce tespit ve yanıt yeteneklerindeki boşlukları tespit etmelerine yardımcı olabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.