Düşük vasıflı bir saldırgan yıllardır, havacılık sektöründeki şirketlerin yanı sıra diğer hassas sektörlerdeki şirketleri hedefleyen kötü amaçlı kampanyalarda kullanıma hazır kötü amaçlı yazılımlar kullanıyor.
Tehdit aktörü, havacılık, uzay, ulaşım, üretim ve savunma sanayilerindeki varlıkları hedef alarak en az 2017’den beri faaliyet gösteriyor.
Siber güvenlik şirketi Proofpoint tarafından TA2541 olarak izlenen saldırganın Nijerya’dan faaliyet gösterdiğine inanılıyor ve faaliyeti daha önce ayrı kampanyaların analizinde belgelenmişti.
Gelişmiş olmayan saldırılar
Proofpoint bugün yayınladığı bir raporda, TA2541’in saldırı yöntemi konusunda tutarlı olduğunu ve uzaktan erişim aracı (RAT) sağlamak için kötü amaçlı Microsoft Word belgelerine güvendiğini belirtiyor.
Bu grubun tipik bir kötü amaçlı yazılım kampanyası, “küresel olarak, Kuzey Amerika, Avrupa ve Orta Doğu’da yinelenen hedefleri olan yüzlerce kuruluşa” çoğu İngilizce olmak üzere “yüzlerce ila binlerce” e-posta göndermeyi içerir.
Proofpoint araştırmacıları, grubun son zamanlarda kötü niyetli eklerden Google Drive gibi bulut hizmetlerinde barındırılan bir yüke bağlanmaya geçtiğini söylüyor.
TA2541, özel kötü amaçlı yazılımları kullanmaz, ancak siber suç forumlarında satın alınabilecek kötü amaçlı araçları emer. Araştırmacının gözlemlerine göre, AsyncRAT, NetWire, WSH RAT ve Parallax, kötü niyetli mesajlarda en sık itilen grubun en gözde favorileri gibi görünüyor.
Proofpoint, TA2541 kampanyalarında kullanılan tüm kötü amaçlı yazılımların bilgi toplamak için kullanılabileceğini ancak şu anda tehdit aktörünün nihai hedefinin bilinmediğini vurguluyor.
Tipik bir TA2541 saldırı zinciri, genellikle ulaşımla (ör. uçuş, uçak, yakıt, yat, charter, kargo) ilgili bir e-posta göndermekle başlar ve kötü niyetli bir belge gönderir.
“Son kampanyalarda, Proofpoint bu grubun e-postalarda Google Drive URL’lerini kullandığını ve bu da karmaşık bir Visual Basic Komut Dosyası (VBS) dosyasına yol açtığını gözlemledi. Çalıştırılırsa, PowerShell Pastetext, Sharetext ve GitHub gibi çeşitli platformlarda barındırılan bir metin dosyasından yürütülebilir bir dosya çeker” – kanıt noktası
Bir sonraki adımda, saldırgan PowerShell’i çeşitli Windows süreçlerinde yürütür ve Windows Yönetim Araçları’nı (WMI) sorgulayarak kullanılabilir güvenlik ürünlerini arar.
Ardından, yerleşik savunmaları devre dışı bırakmaya çalışır ve güvenliği ihlal edilmiş ana bilgisayara RAT yükünü indirmeden önce sistem bilgilerini toplamaya başlar.
TA2541’in hedef seçimi göz önüne alındığında, etkinliği fark edilmedi ve diğer şirketlerden güvenlik araştırmacıları kampanyalarını analiz etti [1, 2, 3] geçmişte, ancak tüm noktaları birleştirmeden.
Cisco Talos bir yayınladı bildiri geçen yıl AsyncRAT ile havacılık sektörünü hedefleyen bir TA2541 kampanyası hakkında. Araştırmacılar, oyuncunun en az beş yıldır aktif olduğu sonucuna vardı.
Saldırıda kullanılan altyapının analizinden elde edilen kanıtlara dayanarak, Cisco Talos, coğrafi konumunu Nijerya ile ilişkilendirerek tehdit aktörü için bir profil oluşturmayı başardı.
“Aktörün faaliyetlerini pasif DNS telemetrisi kullanarak araştırırken, akconsult.linkpc.net etki alanı tarafından kullanılan IP’lerin listesini derledik. Aşağıdaki tablo, IP’lerin kabaca yüzde 73’ünün Nijerya’da yerleşik olduğunu ve söz konusu aktörün Nijerya’da yerleşik olduğu teorisini daha da güçlendirdiğini gösteriyor.” – Cisco Talos’u
Tek bir kampanyada, oyuncu düzinelerce kuruluşa birkaç bin e-posta gönderebilir ve belirli rollere sahip bireyler için uyarlanmamıştır. Bu, TA2541’in eylemlerinin gizliliğiyle ilgilenmediğini ve vasıfsız bir aktör teorisini daha da desteklediğini gösterir.
Bu “püskürt ve dua et” saldırılarında binlerce kuruluş hedef alınırken, dünya genelinde havacılık, uzay, ulaşım, üretim ve savunma sanayilerindeki şirketler sabit bir hedef gibi görünüyor.
TA2541’in taktikleri, teknikleri ve prosedürleri (TTP’ler) teknik olarak karmaşık olmayan bir düşmanı tanımlasa bile, aktör çok fazla bayrak yükseltmeden beş yıldan fazla bir süre boyunca kötü niyetli kampanyalar kurmayı başardı.