Taktiğin bilinen ilk kullanımı olduğuna inanılan gelişmiş bir kalıcı tehdit aktörü, Microsoft OneDrive hizmetlerinden komuta ve kontrol (C2) amacıyla yararlanarak üst düzey hükümet ve savunma sanayi yetkililerini hedef alan karmaşık bir siber casusluk kampanyası yürütüyor. Batı Asya milleti.
Kampanyayı izleyen Trellix'ten araştırmacılar, bunu düşük ila orta dereceli bir güven ile, ABD hükümetinin daha önce Rusya'nın askeri istihbarat servisiyle ilişkilendirdiği bir tehdit aktörü olan APT28'e, diğer adıyla Fancy Bear'a bağladılar. Trellix'in kampanyayla ilgili veri analizi, tehdit aktörlerinin gözünün Polonya ve diğer Doğu Avrupa ülkelerindeki savunma ve devlet kurumlarına da dikildiğini gösteriyor.
Trellix'in gözlemlediği çok aşamalı, muhtemelen APT28 kampanyasının enfeksiyon zinciri, diğer birçok APT kampanyası gibi başladı; muhtemelen bir kimlik avı e-postası aracılığıyla hedefe gönderilen kötü amaçlı bir Excel dosyasının yürütülmesiyle başladı. Dosya şu amaçlarla bir istismar içeriyordu: CVE-2021-40444MSHTML'de veya Microsoft'un tescilli tarayıcı motoru "Trident"te bulunan kritik bir uzaktan kod yürütme güvenlik açığı. Güvenlik açığı bir sıfır gün kusuruydu; yani bunun için herhangi bir yama mevcut değildi. geçen Eylül ayında açıklamıştı Aktif istismar faaliyeti raporları arasında.
Tehdit aktörünün MSHTML kusurunu istismar etmesi, kötü amaçlı bir dinamik bağlantı kitaplığı (DLL) dosyasının ele geçirilen sistemin belleğinde yürütülmesine ve Trellix'in "Grafit" olarak adlandırdığı üçüncü aşama kötü amaçlı yazılım bileşenini indirmesine neden oldu. Güvenlik satıcısının Graphite analizi, Microsoft Bulut hizmetlerine erişim için bir Web uygulaması programlama arayüzü olan Microsoft Graph API aracılığıyla Microsoft OneDrive hesaplarını bir C2 sunucusu olarak kullandığını gösterdi.
Trellix, Graphite kötü amaçlı yazılımının, Empire açık kaynak, kullanım sonrası uzaktan yönetim çerçevesine dayanan ve tamamen bellekte çalışacak ve hiçbir zaman diske yazılmayacak şekilde tasarlanmış bir DLL yürütülebilir dosyası olduğunu buldu. Kötü amaçlı yazılım, çok aşamalı bir enfeksiyon zincirinin parçasıydı ve sonunda bir Empire aracısının oluşturulan sisteme indirilmesine ve onu uzaktan kontrol etmek için kullanılmasına neden oldu.
Trellix'in baş bilim insanı Christiaan Beek, tehdit aktörünün bulut hizmetini kullanan yeni C2 mekanizmasının ilginç bir hareket olduğunu ve şirket araştırmacılarının daha önce gözlemlemediği bir şey olduğunu söylüyor. "Microsoft OneDrive'ı bir komuta ve kontrol sunucusu mekanizması olarak kullanmak sürprizdi; virüslü makinelerle hızlı bir şekilde etkileşim kurmanın yeni bir yoluydu" diyor.
Bu taktik, saldırganların şifrelenmiş komutları kurbanın klasörlerine sürüklemesine olanak tanıyordu. Beek, OneDrive'ın kurbanın makineleriyle senkronize edileceğini ve şifrelenmiş komutların yürütüleceğini, ardından istenen bilgilerin şifrelenip saldırganın OneDrive'ına geri gönderileceğini söylüyor.
Rusya'nın APT28'iyle bağları
Çok aşamalı saldırı ve gerçekleştirilme şekli, savunmacıların olup biteni fark etmesini zorlaştıracak şekilde tasarlandı. Öyle olsa bile, doğru şekilde yapılandırılmış algılama sistemlerine sahip kuruluşların kötü amaçlı etkinlikleri tespit edebilmesi gerekir. Beek, "Radarın altında kalmak için her türlü arazide yaşama tekniği kullanılsa da, saldırganların sistemlerle dahili olarak iletişim kurması ve uygun şekilde yapılandırılmış XDR teknolojisini tetikleyecek komutları yürütmesi gerekiyor" diyor.
APT28 kampanyasıyla ilgili yem belgeleri ve diğer telemetriler, saldırganın hükümet ve askeri hedeflerle ilgilendiğini gösterdi. Örneğin bir belge "parliament_rew.xlsx" olarak adlandırıldı ve hedeflenen ülkenin hükümeti için çalışan çalışanları hedef aldığı anlaşılıyor. Bir diğerinde ise 2022 ve 2023 askeri bütçelerine ilişkin bir isim ve metin yer alıyordu.
Trellix'in araştırmacıları APT28'in saldırılarında kullanılan iki ana bilgisayarı tespit edebildiler. Ana bilgisayarlardan birinin Sırbistan'a çözümlenen bir IP adresi vardı, diğeri ise İsveç'te bulunuyordu. Trellix, Sırp IP adresine sahip C2 sunucusunun, MSHTML güvenlik açığından yararlanmayı ve ikinci aşama DLL'nin kurulum verilerini barındırmak için kullanıldığını buldu. Bu arada İsveç'teki sunucu, güvenliği ihlal edilmiş sistemlerde kurulu aracıların uzaktan kontrol edilmesi için Empire sunucu çerçevesi için bir ana bilgisayar görevi gördü.
Trellix'in analizi, saldırı hazırlıklarının Temmuz 2021'de başladığını ve saldırıların Eylül ile Kasım 2021 arasında gerçekleştiğini gösteriyor. Kampanyanın zamanlaması, Ermenistan ve Azerbaycan sınırı çevresinde siyasi gerilimlerin yaşandığı bir döneme denk geldi; bu, saldırıların muhtemelen jeopolitik amaçlı olduğu anlamına geliyor dedi Trellix. Güvenlik sağlayıcısı, kurbanları saldırılar konusunda bilgilendirdiğini ve bilinen tüm saldırı bileşenlerinin ağlarından nasıl kaldırılacağı konusunda onlara bilgi sağladığını söyledi.
- Akıllı para. Avrupa'nın En İyi Bitcoin ve Kripto Borsası.
- Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. SERBEST ERİŞİM.
- KriptoHawk. Altcoin Radarı. Ücretsiz deneme.
- Kaynak: https://www.darkreading.com/attacks-breaches/threat-actors-use-microsoft-onedrive-for-command-and-control-in-attack-campaign
