Hizbullah’la bağları olduğu öne sürülen bir APT grubu, zararlı yazılım deposunu dünya çapındaki şirketlere sızmak ve değerli bilgilere ulaşmak için uzaktan erişimli bir Trojan‘ın (RAT) yeni versiyonuyla güçlendirdi.
ClearSky araştırma ekibi tarafından yayınlanan yeni bir raporda, üzerinde durulan konulardan birisi 2020’nin başından beri halka dönük en az 250 web sunucusunun hacklenmesiydi. Hackleme faaliyetlerinin yapılma amacı ise istihbarat elde etmek ve şirketlerin veritabanlarını ele geçirebilmek.
Organize edilmiş izinsiz girişler ABD, İngiltere, Mısır, Ürdün, Lübnan, Suudi Arabistan, İsrail ve Filistin’de yer alan birçok şirketi vurdu. Kurbanların büyük çoğunluğu telekom işletmeleri (Etisalat, Mobily, Vodafone Mısır), internet servis sağlayıcıları (SaudiNet, TE Data) ve altyapı ile yer sağlayıcılarından (Secured Servers LLC, iomart) oluşuyor.
İlk olarak 2015’te belgelenen Volatile Cedar adlı tehdit grubu, çok sayıda hedefe çeşitli saldırı teknikleri kullanarak gizlice nüfuz etmesiyle tanınıyor. Bunlar arasında Explosive kod adlı özel yapım bir zararlı yazılım implantı da var.
Gözlenen Saldırı Stratejileri Hizbullah ile Bağlantılı Olduklarını Gösteriyor
Daha önce 2015’teki bir siber casusluk girişimiyle bağlantılı olarak Volatile Cedar’ın Lübnan kökenli bir grup ve hatta Hizbullah’ın siber birimi olduğundan şüpheleniliyordu. Bu tehdit grubu askeri teçhizatları, telekom şirketlerini, medya kuruluşlarını ve üniversiteleri hedef almıştı.
2020 saldırıları da çok farklı değildi. ClearSky tarafından açığa çıkarılan hack faaliyeti, Explosive RAT’in varyantları olan 2015 ve 2020 kod örtüşmelerine bağlı olarak Hizbullah’a atfedilen operasyonlarla eşleşti. Bunlar ‘1-day’ olarak bilinen zaaflardan istifade edilerek yamasız Oracle ve Atlas web sunucularındaki kurbanların ağlarına yerleştirilmişti.
Sunuculardaki Zafiyeti Kullanarak Web Shell Yerleştirdiler
İlk dayanağı elde etmek için hücum vektörü olarak sunuculardaki 3 zafiyeti (CVE-2019-3396, CVE-2019-11581 ve CVE-2012-3152) kullanan saldırganlar, bir web shell ve bir JSP dosya tarayıcısı yerleştirdiler.
Yerleştirdikleri Web Shell, Web kabuğu olarak da bilinen, rastgele komutların yürütülmesine izin vererek bir web sunucusuna uzaktan erişim ve kontrol sağlayan kötü amaçlı ve web tabanlı bir arayüz. Bu arayüz, web sunucusunun dosya sistemi gibi web sunucusuna uzaktan erişime izin vermek için bir web sunucusuna yüklenebilir. Saldırganların sunucuya yerleştirdikleri web shell ve JSP dosya tarayıcısının amacı aynıydı. Her ikisi de ağ boyunca yanlamasına ilerlemek, ilave malware eklemek ve Explosive RAT’i indirmek için kullanılıyordu. Tüm bunlar saldırganlara, klavye vuruşlarını kaydetme, ekran görüntülerini yakalama ve gelişigüzel komutlar çalıştırma gibi imkanlar sağlıyordu.
ClearSky araştırmacılarına göre, “Web shell, hücuma uğramış web sunucu üzerinde çeşitli casusluk operasyonları yürütmek için kullanılıyor. Bunlar arasında sonraki saldırılar için olası mal varlıklarının yerini belirleme, dosya yerleştirme, sunucu konfigürasyonu ve daha fazlası var.” Ama bu, görevleri yerine getirmek ve bir komuta-kontrol (C2) sunucusuna sonuçları iletmek için yükseltilmiş ayrıcalıklar temin etmeden önce kullanılmıyor.
ClearSky’ın raporuna göre gizliliği ihlal edilmiş makine ve halihazırda şifrelenmiş C2 sunucu arasındaki bağlantılarla birlikte, Explosive RAT’in ilk görülmesinden bu yana beş yıl içerisinde hata ayıklamaya karşı implanta yapılan son değişiklikte (V4) yeni özellikler eklendi.
Hedefleri Sürekli Değişti
Kötü niyetli aktörlerin göze batmamaya çalışması şaşırtıcı değil; ancak Volatile Cedar’ın 2015’ten beri hiç dikkat çekmeden saklanmayı başarması, geri kalan zamanda fark edilmemek için uzun dönemler boyunca operasyonları durdurmuş olabileceğine işaret ediyor.
ClearSky araştırmacılarının belirttiğine göre, grubun web shell’i başlıca hack aracı olarak kullanması, araştırmacıları “isnat etme anlamında çıkmaza” sürüklemeyi amaçlıyor olabilir.
Araştırmacılar son olarak şunu ekledi: “Volatile Cedar, Lübnan odağını belirgin bir şekilde değiştirdi. İlk olarak, bilgisayarlara başlangıç erişim noktası olarak saldırdılar. Daha sonra kurbanların ağlarına doğru ilerlediler. Daha da ileri giderek halka dönük savunmasız web sunucularını hedef aldılar.”
Kaynak: SiberBülten
İlk yorum yapan olun