Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Güvenlik Operasyonları
Bilinmeyen Hackerların Olası Uzun Süreli Saldırıları Engellendi
Prajeet Nair (@prajeetspeaks), David Perera (@daveperera) •
12 Aralık 2024
Huntress’in güvenlik araştırmacıları Perşembe günü yaptığı açıklamada, Cleo Communications yazılım örneklerindeki kusurlardan yararlanan bilgisayar korsanlarının, iç yapıları hakkında ayrıntılı bilgiye sahip olduklarını ve daha önce bilinmeyen bir kötü amaçlı yazılım ailesini kullandıklarını söyledi.
Ayrıca bakınız: Günümüzün Artan Siber Tehditlerinin Üstesinden Gelmek
Illinois merkezli Cleo, Huntress araştırmacılarının Pazartesi günü CVE-2024-50623 olarak izlenen bir kusura yönelik yamanın aktif istismarı engellemediğini açıklamasının ardından Çarşamba akşamı rastgele dosya yazma güvenlik açığı için bir yama yayınladı (bkz.: Bilgisayar Korsanları Cleo Yazılımını Kullanıyor Sıfır Gün).
Huntress’in baş güvenlik araştırmacısı John Hammond, Cleo’nun “bir pencereyi kapattığını ve binanın bir tarafındaki tüm kapıları kilitlediğini, ancak diğer tarafını kilitlediğini” söyledi. “Eh, artık sahipler” diye ekledi. Cleo dosya aktarım yazılımı, büyük ölçekli lojistik ve tedarik zinciri operasyonlarının olduğu sektörlerde kullanılmaktadır.
Huntress, Cleo LexiCom, VLTransfer ve Harmony yazılım ürünlerine karşı kullanılan kötü amaçlı yazılımlara “Malichus” adını verdi; bu, Mısır’ın Ptolema Krallığı’nın son hükümdarı Kleopatra hakkında tarihi bir kelime oyunuydu. Malichus, rakip bir Orta Doğu krallığını yönetiyordu ve Aktium Muharebesi’ndeki kaybının ardından Kleopatra’nın deniz filosunu yaktı – muhtemelen intiharı ve Mısır’ın Roma’nın bir İmparatorluk eyaletine dönüştürülmesiyle sonuçlanan bir dizi olay nedeniyle Mısır’dan kaçmasını engelledi.
“Kötü amaçlı yazılım akıllıdır. [The hackers] Hammond, Information Security Media Group’a ilk erişim ve özellikle de kullanım sonrası için pek çok akıllıca hileye sahip olduklarını söyledi. “Görünüşe göre bu adamlar ne yaptıklarını biliyorlardı.”
Hammond, Cleo yazılımının yama uygulanmamış bir örneğine yönelik saldırının basit bir POST mesajıyla başladığını, kullanıcı kimlik doğrulaması gerekmediğini söyledi.
Huntress, bilgisayar korsanlarının fidye yazılımı dağıttığını görmedi. Saldırganlar bunun yerine kalıcılık oluşturdular ve nüfuz edilen ağları araştırdılar. “Daha sonra düşük ve yavaş bir APT saldırısı mı olması gerekiyordu? Kesin olarak söyleyemem çünkü izini sürmeyi başardık.” Bilgisayar korsanları, ağ varlıklarını numaralandırmak için bir Active Directory araştırması yapana kadar fark edilmeden kalmayı başardılar.
Bilgisayar korsanları, Cleo yazılımındaki otomatik çalıştırma dizinindeki dosyaları otomatik olarak yürüten bir özelliği kötüye kullanarak kötü amaçlı yazılımları kısmen dağıtabildiler. Bu, bilgisayar korsanlarının Cleo otomatik çalıştırma özelliğini yazılım dağıtımında yararlı bulan ilk örnek değil; 2021’deki bir saldırıda da bu özellik kullanıldı. Hammond, Cleo ürünlerinin bir otomatik çalıştırma dizini içermeye devam edeceğini, ancak Çarşamba yamasının bu durumdan yararlanmayı zorlaştıracağını söyledi.
Malichus’un mimarisi üç temel aşamaya ayrılmıştır: bir PowerShell indiricisi, bir Java tabanlı indirici ve modüler bir Java kullanım sonrası çerçevesi. Saldırı, Base64’te kodlanmış, bir Java arşivinin kodunu çözen ve çalıştıran bir PowerShell yükleyicisiyle başlıyor.
Bir sonraki aşamada, kötü amaçlı yazılım, ek yükleri almak için bir komuta ve kontrol sunucusuyla iletişim başlatırken, uyarlanabilirliği, tespit ve hafifletme çabaları için zorluklar yaratır.
İkinci aşamada, kötü amaçlı yazılım, üçüncü aşamayı C2 sunucusundan indirmek için AES şifreli iletişimleri kullanır. Şifreleme anahtarları, kurban tanımlayıcıları ve sunucu adresleri gibi değişkenlerin kodunu çözerek gizlemeyi ve operasyonel gizliliği korur.
Üçüncü aşama, kapsamlı kullanım sonrası yeteneklere sahip modüler Java tabanlı bir çerçeveden oluşur. Hem Linux hem de Windows sistemleriyle uyumlu olmasına rağmen, gözlemlenen etkinlik öncelikle Windows ortamlarını hedef almıştır.