‘Fil Böceği’ adlı finansal olarak motive olmuş bir aktör, 80’den fazla benzersiz araç ve senaryodan oluşan bir cephanelik kullanarak dünya çapındaki kuruluşlardan milyonlarca dolar çalıyor.
Grup çok karmaşık ve sabırlıdır, kurbanın ortamını ve finansal işlem süreçlerini incelemek için aylar harcar ve ancak o zaman operasyondaki kusurlardan yararlanmak için harekete geçer.
Aktörler, ağa hileli işlemler enjekte ediyor ve uzun süreler boyunca küçük miktarlar çalıyor ve bu da toplamda milyonlarca dolarlık hırsızlığa yol açıyor. Tespit edilirlerse bir süre gizlenirler ve farklı bir sistemden geri dönerler.
‘Elephant Beetle’ın uzmanlığı, tipik olarak kurumsal ağlara giriş noktaları olan Linux sistemlerindeki eski Java uygulamalarını hedeflemede görünmektedir.
Oyuncunun TTP’leri, Sygnia Incident Response ekibinin yayınlanmadan önce Bleeping Computer ile paylaştığı ayrıntılı bir teknik raporda ortaya çıkıyor.
Kusurları kullanma ve normal trafikle karıştırma
‘Elephant Beetle’ sıfırıncı gün açıklarını satın almak veya geliştirmek yerine bilinen ve muhtemelen yama uygulanmamış güvenlik açıklarını hedeflemeyi tercih ediyor.
Sygnia araştırmacıları grubu iki yıldır gözlemledi ve tehdit aktörlerinin aşağıdaki kusurlardan yararlandığını doğrulayabilir:
- Primefaces Uygulama İfadesi Dil Enjeksiyonu (CVE-2017-1000486)
- WebSphere Uygulama Sunucusu SOAP Seriyi Kaldırma Exploit (CVE-2015-7450)
- SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326)
- SAP NetWeaver ConfigServlet Uzaktan Kod Yürütme (EDB-ID-24963)
Yukarıdaki kusurların dördü de, oyuncuların özel olarak hazırlanmış ve gizlenmiş bir web kabuğu aracılığıyla uzaktan keyfi kod yürütmesine olanak tanır.
Aktörlerin uzun vadeli gözetim ve araştırma yapması gerekiyor, bu nedenle bir sonraki birincil hedef birkaç ay boyunca fark edilmeden kalmak.
Bunu başarmak için, yasal paketleri taklit ederek, web kabuklarını yazı tipi, resim veya CSS ve JS kaynakları olarak gizleyerek ve yükleri paketlemek için WAR arşivlerini kullanarak normal trafikle uyum sağlamaya çalışırlar.
“Fil Böceği hırsızları, yavaş yavaş gerçek saldırıya hazırlanırken, tehdit edici olmayan dosyaların üzerine yazmaya çalışacaklar”, ayrıntılarıyla anlatılıyor. Sygnia raporu.
“Tehdit aktörü tarafından kullanılan başka bir teknik, varsayılan web sayfası dosyalarını değiştirmek veya tamamen değiştirmekti – yani, IIS web sunucularında iisstart.aspx veya default.aspx’i değiştirmek.”
“Bu tekniği kullanmak, tehdit grubuna iki şeye izin verdi – ilki, web kabuklarına diğer sunuculardan veya internetten neredeyse garantili bir erişimdir, çünkü bunun için yollara genellikle varsayılan olarak izin verilir.”
Özel arka kapılardan yanlamasına hareket
İlk web sunucusunun güvenliği ihlal edildikten sonra, tehdit aktörü, belirli bir bağlantı noktası veya HTTP arabirimi için IP adreslerinin bir listesini getiren özel bir Java tarayıcısı kullanır.
Bu araç son derece çok yönlü ve yapılandırılabilirdir ve Sygnia, gözlemlenen ‘Fil Böceği’ operasyonlarında yaygın olarak kullanıldığını gördüğünü bildirmektedir.
Potansiyel dahili sunucu pivot noktalarını belirledikten sonra, oyuncular, ağdaki diğer cihazlara yanal olarak yayılmak için güvenliği ihlal edilmiş kimlik bilgilerini veya RCE kusurlarını kullanır.
“Tehdit grubu, Windows API’leri (SMB/WMI) ve ‘xp_cmdshell’ gibi bilinen tekniklerden yararlanarak, özel uzaktan yürütme geçici arka kapıları ile birlikte, esas olarak web uygulama sunucuları ve SQL sunucuları aracılığıyla ağ içinde yanal olarak hareket eder.” – Sygnia.
Grup, yanal hareketi kolaylaştıran iki tek astarlı arka kapı kullanır; Base64 ile kodlanmış bir PowerShell ve bir Perl arka bağlantı arka kapısı.
İlk arka kapı bir web sunucusunu simüle eder ve bir uzaktan kod yürütme kanalını hedef bağlantı noktalarına bağlar, ikincisi ise C2 iletişimi için etkileşimli bir kabuk yürütür (komut alımı ve çıkışı).
Bazı nadir durumlarda, bilgisayar korsanları, bir dizi sabit kodlanmış sertifika kullanılarak oluşturulan şifreli bir tünel aracılığıyla ana bilgisayarda kabuk kodu yürütmek için üçüncü bir arka kapı kullandı.
İlişkilendirme ve savunma ipuçları
‘Elephant Beetle’, İspanyol kod değişkenlerini ve dosya adlarını kullanır ve kullandıkları C2 IP adreslerinin çoğu Meksika’dadır.
Ayrıca, Java ile yazılmış ağ tarayıcısı, muhtemelen erken geliştirme ve test aşamasında, Arjantin’den Virus Total’e yüklendi.
Bu itibarla, grup Latin Amerika ile bağlantılı görünmektedir ve Latin Amerika ile bir ilişkisi veya örtüşmesi olabilir. oyuncu FIN13, Mandiant tarafından izlendi.
Bu aktöre karşı savunmak için bazı temel tavsiyeler şunları içerir:
- ‘xp_cmdshell’ prosedürünü kullanmaktan kaçının ve MS-SQL sunucularında devre dışı bırakın. Yapılandırma değişikliklerini ve ‘xp_cmdshell’ kullanımını izleyin.
- WAR dağıtımlarını izleyin ve paket dağıtım işlevinin ilgili uygulamaların günlüğe kaydetme ilkesine dahil edildiğini doğrulayın.
- WebSphere uygulamalarının geçici klasörlerinde şüpheli .class dosyasının varlığını ve oluşturulmasını arayın ve izleyin.
- Web sunucusu üst hizmetleri süreçleri (yani, ‘w3wp.exe’, ‘tomcat6.exe’) veya veritabanıyla ilgili işlemler (örneğin, ‘sqlservr.exe’) tarafından yürütülen işlemleri izleyin.
- DMZ ve dahili sunucular arasında ayrımı uygulayın ve doğrulayın.
Son olarak, Sygnia’nın raporundan proaktif olarak ‘Fil Böceği’ni avlamanıza yardımcı olacak uzlaşma göstergelerini (IoC) aldığınızdan emin olun.
Bu aktörün ilk güvenlik açığı için eski ve yama uygulanmamış güvenlik açıklarından yararlandığı düşünüldüğünde, tüm uygulamalarınızı en son güvenlik yamalarıyla güncel tutmanız çok önemlidir.