'Seasshell Blizzard' ve 'Sandworm' olarak da bilinen Rus devlet destekli hack grubunun APT44'ünün bir alt grubu, 'Badpilot' olarak adlandırılan çok yıllı bir kampanyada kritik organizasyonları ve hükümetleri hedefliyor.
Tehdit oyuncusu en az 2021'den beri aktiftir ve aynı zamanda enerji, petrol ve gaz, telekomünikasyon, nakliye ve silah üretim sektörlerindeki kuruluş ağlarını ihlal etmekten de sorumludur.
Microsoft'un tehdit istihbarat ekibi, aktörün hedef sistemlere ilk erişim sağlanmaya, kalıcılığa sahip olmaya ve diğer APT44 alt gruplarının, kompromise sonrası uzmanlığa sahip diğer APT44 alt gruplarının devralmasına izin vermek için varlığını sürdürmeye adadığını söylüyor.
Microsoft'un alt grubun faaliyetine ilişkin en eski gözlemleri, kritik sektörlere odaklanan Ukrayna, Avrupa, Orta ve Güney Asya ve Orta Doğu'yu hedefleyen fırsatçı operasyonları göstermektedir.
2022'den başlayarak, Rusya'nın Ukrayna'yı işgalinden sonra, alt grup, hükümet, askeri, ulaşım ve lojistik sektörleri de dahil olmak üzere Ukrayna'yı destekleyen kritik altyapıya karşı operasyonlarını yoğunlaştırdı.
Onların müdahaleleri istihbarat toplama, operasyonel aksamalar ve hedeflenen sistemlerde verileri bozmayı amaçlayan silecek saldırılarını amaçladı.
Microsoft'un alt grubun spesifik faaliyetine ilişkin olarak, "Alt grubun 2023'ten beri Ukrayna'da en az üç yıkıcı siber saldırıyı sağladığını değerlendiriyoruz."
2023 yılına gelindiğinde, alt grubun hedefleme kapsamı genişlemişti, Avrupa, ABD ve Orta Doğu'da büyük ölçekli uzlaşmalar sağladı ve 2024'te ABD, İngiltere, Kanada ve Avustralya'ya odaklanmaya başladı.
APT44 alt grup, internete dönük altyapı, kimlik bilgisi hırsızlığı ve tedarik zinciri saldırılarında N-Day güvenlik açıklarından yararlanmak da dahil olmak üzere ağları tehlikeye atmak için birden fazla teknik kullanır.
Tedarik zinciri saldırıları özellikle Avrupa ve Ukrayna'daki kuruluşlara karşı etkili oldu, burada bilgisayar korsanları bölgesel olarak BT hizmet sağlayıcılarını yönetti ve daha sonra birden fazla müşteriye erişti.
Microsoft, aşağıdaki güvenlik açıklarının ağ taramalarını ve sonraki sömürü girişimlerini gözlemlemiştir:
Erişim elde etmek için yukarıdaki güvenlik açıklarından yararlandıktan sonra, bilgisayar korsanları 'localolive' gibi özel web mermilerini dağıtarak kalıcılık kurdu.
2024'te APT44 alt grubu, tespit edilen sistemlerde komutları yürütmek için Atera Agent ve Splashtop uzaktan hizmetleri gibi meşru BT uzaktan yönetim araçlarını kullanmaya başladı.
İnis sonrası erişim etkinliği ile ilgili olarak, tehdit aktörleri, kimlik bilgilerini çalmak için ProcDump veya Windows kayıt defterini ve gizli ağ tünelleri aracılığıyla veri açığa çıkması için rclone, keski ve plink kullanır.
Araştırmacılar, Tehdit Oyuncusu Tor Network'ten trafiği "etkilenen varlığa gelen tüm bağlantıları etkili bir şekilde gizlemek ve hem aktör hem de kurban ortamından kaynaklanan maruziyetleri sınırlamak" için yeni bir teknik gözlemlediler.
Son olarak, alt grup, ağın tüm parçalarına ulaşmak için yanal hareket gerçekleştirir ve altyapıyı operasyonları için gerektiği gibi değiştirir.
Değişiklikler, DNS yapılandırma manipülasyonları, yeni hizmetlerin ve planlanan görevlerin oluşturulması ve benzersiz genel anahtarlarla OpenSSH kullanarak arka kapı erişiminin yapılandırılmasını içerir.
Microsoft, Rus hacker alt grubunun "Global'a yakın erişim" olduğunu ve Seasshell Blizzard'ın coğrafi hedeflemesini genişletmesine yardımcı olduğunu söylüyor.
Bugün yayınlanan raporda araştırmacılar, savunucuların bu tehdit oyuncusunun faaliyetini yakalamaları ve daha önce durdurmaları için avlanma sorgularını, uzlaşma göstergelerini (IOCS) ve Yara kurallarını paylaşıyor.
Rus askeri bilgisayar korsanları Ukrayna'da kötü niyetli pencereler kullanıyor
Hackerlar SimpleHelp RMM Kusurlarını Serpeto Kötü Yazılımları Dağıtmak İçin
7-Zip Motw Bypass Ukrayna'ya karşı sıfır gün saldırılarında sömürüldü
Bilgisayar korsanları, ağları ihlal etmek için SimpleHelp RMM'de kusurları sömürüyor
Bilgisayar korsanları Palo Alto Networks'teki Kimlik Doğrulama Bypass'ı Pan-Os
Kaynak: Bleeping Computer