Resim: Milo Bauman
ABD savunma müteahhitlerine ait sistemlerde bulunan SockDetour adlı yeni bir özel kötü amaçlı yazılım, güvenliği ihlal edilmiş ağlara erişimi sürdürmek için bir yedek arka kapı olarak kullanıldı.
Kötü niyetli yük, operatörlerinin arka kapıyı en az Temmuz 2019’dan beri vahşi ortamda kullanıldığı için uzun süre radar altında tuttuğuna inanan Unit 42 güvenlik araştırmacıları tarafından tespit edildi.
SockDetour’un gizliliği, virüslü Windows sunucularında ağ bağlantılarını ele geçirerek “dosyasız ve soketsiz bir şekilde çalışması” ve ana bilgisayar ve ağ seviyelerinde tespit edilmesini çok daha zor hale getirmesiyle açıklanabilir.
Bağlantı kaçırma meşru kullanılarak yapılır Microsoft Detours kitaplığı Windows API çağrı izleme ve enstrümantasyonu için kullanılan paket.
“Böyle bir uygulama ile SockDetour [..] Birincil arka kapının savunucular tarafından tespit edilip kaldırılması durumunda yedek bir arka kapı görevi görür.” Ünite 42 açıklandı.
Saldırılardan birinde, tehdit aktörleri ayrıca çok özel bir dağıtım sunucusu, tipik olarak küçük işletmeler tarafından kullanılan ve daha önce QLocker fidye yazılımı bulaşmış bir QNAP ağa bağlı depolama (NAS) cihazı kullandılar – muhtemelen aynı güvenlik açığından yararlandılar (CVE- 2021-28799 uzaktan kod yürütme hatası) sunucuya erişim kazanmak için.
Araştırmacılar, kötü amaçlı yazılımın ilk olarak 27 Temmuz 2021’de en az bir ABD savunma yüklenicisinin Windows sunucusuna yerleştirildiğini fark etti ve bu, aynı grup tarafından aynı arka kapıyla hedeflenen diğer üç savunma kuruluşunun keşfedilmesine yol açtı.
Araştırmacılar, “Unit 42’nin telemetri verilerine ve toplanan örneklerin analizine dayanarak, SockDetour’un arkasındaki tehdit aktörünün, araçları kullanan ABD merkezli savunma müteahhitlerini hedef almaya odaklandığına inanıyoruz” dedi.
“Birim 42, en az bir müteahhitin uzlaşmasıyla bu kampanya tarafından hedef alınan en az dört savunma müteahhitliğine dair kanıtlara sahip.”
Çin bağlantısı
SockDetour arka kapısı, Unit 42 tarafından TiltedTemple olarak izlenen ve daha önce ManageEngine ADSelfService Plus (CVE-2021-40539) ve ServiceDesk Plus (CVE-2021-44077) dahil olmak üzere Zoho ürünlerindeki çeşitli güvenlik açıklarından yararlanan saldırılarla bağlantılı olan bir APT etkinlik kümesi tarafından yapılan saldırılarda kullanılır. ).
Şirket, SockDetour kötü amaçlı yazılımını belirli bir bilgisayar korsanlığı grubuna bağlamazken, Unit 42 araştırmacıları Kasım ayında TiltedTemple kampanyasının Çin destekli bir tehdit grubunun işi olduğundan şüpheleniyordu. APT27.
Kısmi ilişkilendirme, APT27’nin önceki faaliyetleriyle eşleşen taktiklere ve kötü amaçlı araçlara ve siber casusluk için aynı sektör sektörlerini (örn. savunma, teknoloji, enerji, havacılık, hükümet ve üretim) benzer şekilde hedeflemeye dayanmaktadır.
Zoho güvenlik açıklarına odaklanan TiltedTemple saldırıları, 2021 boyunca üç farklı kampanyada dünya çapındaki kritik altyapı kuruluşları kuruluşlarına ait ağların ihlal edilmesine yol açtı: