Araştırmacılar, Orta Doğu ve Asya’daki telekomünikasyon ve BT hizmet sağlayıcılarını hedef alan yeni bir casusluk hackleme kampanyası tespit etti.
Kampanya son altı ayda yürütüldü ve İran destekli aktörle geçici bağlantılar var. MERKÜR (diğer adıyla Çamurlu su, tohum kurdu, veya TEMP.Zagros).
Rapor, İsrail, Ürdün, Kuveyt, Suudi Arabistan, Birleşik Arap Emirlikleri, Pakistan, Tayland ve Laos’taki son saldırılardan kanıt ve araç seti örnekleri toplayan Symantec’teki Tehdit Avcısı Ekibi’nden geliyor.
Exchange sunucularını hedefleme
Saldırganlar en çok web kabuğu dağıtımı için kullandıkları güvenlik açığı bulunan Exchange Sunucularıyla ilgileniyor gibi görünüyor.
İlk ihlalden sonra hesap kimlik bilgilerini çalar ve şirket ağında yanlamasına hareket ederler. Bazı durumlarda, diğer bağlantılı kuruluşlara yönelmek için dayanak noktalarını kullanırlar.
Bulaşma vektörü bilinmemekle birlikte, Symantec, bir uzak masaüstü yazılım uygulaması için bir yükleyici içeren “Özel indirimli program.zip” adlı bir ZIP dosyası vakası bulabildi.
Bu nedenle, tehdit aktörleri hedef odaklı kimlik avı e-postalarını belirli hedeflere dağıtıyor olabilir.
Araçlar ve yöntemler
Tehdit aktörlerinin ilk uzlaşma işareti, genellikle ağ üzerinde keşif gerçekleştiren bir Windows Komut Dosyası Dosyasını (WSF) başlatmak için bir Windows hizmetinin oluşturulmasıdır.
Ardından, daha fazla WSF indirmek için PowerShell ve tünel oluşturma araçlarını indirmek ve WMI sorgularını çalıştırmak için Certutil kullanılır.
“Süreç kökeni verilerine dayanarak, saldırganların komut dosyalarını yoğun bir şekilde kullandığı görülüyor. Bunlar, bilgi toplamak ve ek araçlar indirmek için kullanılan otomatik komut dosyaları olabilir.” açıklar Symantec’in raporu.
“Ancak, bir durumda, bir komut cURL’den yardım ister ve bu da saldırganların en azından bir miktar klavyede uygulamalı etkinliği olabileceğini düşündürür.”
Hedef kuruluşta varlıklarını belirleyen aktörler, aşağıdakileri yapmalarını sağlayan eHorus uzaktan erişim aracını kullanır:
- Bir (şüpheli) Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) boşaltma aracı sağlayın ve çalıştırın.
- Ligolo tünel açma araçlarını (olduğuna inanılan) teslim edin.
- Diğer hedeflenen kuruluşların Exchange Web Servislerinden (EWS) bir URL istemek için Certutil’i yürütün.
Aktörler, diğer telekomünikasyon sistemlerine geçiş yapmak için potansiyel Exchange Web Hizmetleri bağlantılarını arar ve bu amaç için aşağıdaki komutları kullanır:
certutil.exe -urlcache –split [DASH]f hxxps://[REDACTED]/ews/exchange[.]asmx
certutil.exe -urlcache -split [DASH]f hxxps://webmail.[REDACTED][.]com/ews
Belirli bir aktör tarafından kullanılan araç setinin tam listesi aşağıda verilmiştir:
- ScreenConnect: Meşru uzaktan yönetim aracı
- RemoteUtilities: Meşru uzaktan yönetim aracı
- eHorus: Meşru uzaktan yönetim aracı
- Ligolo: Ters tünel açma aracı
- Hidec: Gizli bir pencereyi çalıştırmak için komut satırı aracı
- Nping: Paket oluşturma aracı
- LSASS Damper: Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işleminden kimlik bilgilerini boşaltan araç
- SharpChisel: Tünel açma aracı
- Parola Damper
- CrackMapExec: Bir Active Directory ortamının güvenlik değerlendirmesini otomatikleştirmek için kullanılan, genel kullanıma açık araç
- ProcDump: Bir uygulamayı CPU artışları için izlemeye ve kilitlenme dökümleri oluşturmaya yönelik, ancak aynı zamanda genel bir işlem dökümü yardımcı programı olarak da kullanılabilen Microsoft Sysinternals aracı
- SOCKS5 proxy sunucusu: Tünel açma aracı
- Keylogger: Tarayıcı kimlik bilgilerini alır
- Mimikatz: Herkese açık kimlik bilgisi boşaltma aracı
Bu araçların çoğu, saldırgan güvenlik ekipleri tarafından yaygın olarak kullanılan herkese açık araçlardır, bu nedenle kuruluşlarda alarm tetiklemeyebilirler.
MuddyWater’a bağlantılar
İlişkilendirme kesin olmasa da Symantec, eski MuddyWater saldırılarında kullanılan altyapıyla örtüşen iki IP adresi kaydetti.
Ayrıca, araç seti, tarafından bildirilen Mart 2021 saldırılarına bazı benzerlikler içeriyor. Trend Mikro araştırmacılar
Yine de, birçok İran devleti destekli aktör kullanıma hazır araçlar kullanıyor ve düzenli olarak altyapıyı değiştiriyor ve bu nedenle, şu anda kesin bir atıf yapılamaz.