Siber Muhbir

UNC5325, CVE-2024-21893'ü kötüye kullanarak LITTLELAMB adlı çok çeşitli yeni kötü amaçlı yazılımlar gönderdi. Mandiant, WOOLTEA, PITSTOP, PITDOG, PITJET ve PITHOOK'un yanı sıra güvenliği ihlal edilmiş cihazlara kalıcı erişimi sürdürmeye çalıştığını söyledi.

Google'ın sahip olduğu tehdit istihbaratı firması, LITTLELAMB'deki kaynak kodu çakışmaları nedeniyle UNC5325'in UNC3886 ile ilişkili olduğunu orta düzeyde bir güvenle değerlendirdi. WOOLTEA ve PITHOOK, ikincisi tarafından kullanılan kötü amaçlı yazılım ile.

UNC3886'in VIRTUALPITA, VIRTUALPIE, THINCRUST ve CASTLETAP gibi çeşitli implantları dağıtmak için Fortinet ve VMware çözümlerindeki sıfır gün kusurlarından yararlanma konusunda bir geçmişe sahip olduğunu belirtmekte fayda var.

Mandiant araştırmacıları, "UNC3886 öncelikle ABD ve [Asya-Pasifik] bölgelerinde bulunan savunma sanayi üssünü, teknolojisini ve telekomünikasyon kuruluşlarını hedef aldı" dedi.

Ivanti Connect Secure, Ivanti Policy Secure ve Ivanti Neurons for ZTA'nın SAML bileşenindeki bir sunucu tarafı istek sahteciliği (SSRF) güvenlik açığı olan CVE-2024-21893'ün UNC5325 tarafından aktif olarak kullanılmasının 19 Ocak 2024 gibi erken bir tarihte gerçekleştiği ve sınırlı sayıda cihazı hedef aldığı söyleniyor.

Saldırı zinciri, CVE-2024-21893'ü CVE-2024-21887 olarak izlenen daha önce açıklanmış bir komut enjeksiyonu güvenlik açığıyla birleştirerek hassas cihazlara yetkisiz erişim elde etmeyi ve sonuçta BUSHWALK'un yeni bir sürümünün konuşlandırılmasına yol açmayı gerektiriyor.

Bazı örnekler, ek yükleri düşürmek için SparkGateway eklentileri gibi meşru Ivanti bileşenlerinin kötüye kullanılmasını da içeriyordu. Bu, LITTLELAMB kod adlı kötü amaçlı bir paylaşılan nesneyi yüklemek için PITFUEL eklentisini içerir. WOOLTEA, sistem yükseltme olayları, yamalar ve fabrika ayarlarına sıfırlamalar arasında kalıcı olma yetenekleriyle birlikte gelir.

"Kalıcılığı sürdürmek için gözlemlenen sınırlı girişimler, kötü amaçlı yazılımın kodunda bir şifreleme anahtarı uyumsuzluğunu hesaba katacak mantık eksikliği nedeniyle bugüne kadar başarılı olamamış olsa da, öncelikli hedeflere erişimi sürdürmek için UNC5325 ne kadar ileri gideceğini daha da gösteriyor ve ağ cihazlarının en son güncellemelere ve yamalara sahip olmasını sağlamanın önemini vurguluyor. " şirket işaret etti.

Ayrıca komut yürütmeyi, dosya yönetimini, kabuk oluşturmayı, SOCKS proxy'sini ve ağ trafiği tünellemeyi destekleyen bir arka kapı görevi görür.

Ayrıca, güvenliği ihlal edilmiş cihazda kabuk komutu yürütme, dosya yazma ve dosya okuma için tasarlanmış PITSTOP olarak adlandırılan bir implantı kalıcı olarak yürütmek için PITHOOK olarak bilinen paylaşılan bir nesneyi enjekte eden PITDOG adlı başka bir kötü amaçlı SparkGateway eklentisi de gözlemlendi.

Mandiant, tehdit aktörünü "cihaz hakkında incelikli bir anlayış ve bu kampanya boyunca tespiti bozma yeteneklerini" gösterdiğini ve radarın altında uçmak için karada yaşama (LotL) tekniklerini kullandığını açıkladı.

Siber güvenlik firması, "UNC5325 ve diğer Çin-nexus casusluk aktörlerinin, hedef ortamlara erişim elde etmek ve sürdürmek için ağ uç cihazlarındaki sıfır gün güvenlik açıklarından ve cihaza özgü kötü amaçlı yazılımlardan yararlanmaya devam etmesini" beklediğini söyledi.

Volt Typhoon ve UTA0178 arasındaki bağlantılar bulundu

Açıklama, endüstriyel siber güvenlik şirketi Dragos'un Çin destekli Volt Typhoon'u (diğer adıyla Voltzite) ABD merkezli birden fazla elektrik şirketini, acil durum hizmetlerini, telekomünikasyon sağlayıcılarını, savunma sanayi üslerini ve uydu hizmetlerini hedef alan keşif ve numaralandırma faaliyetlerine bağlamasıyla geldi.

"Voltzite'nin ABD elektrik kuruluşlarına, telekomünikasyon ve CBS sistemlerine yönelik eylemleri, ülkenin kritik altyapısında gelecekte yıkıcı veya yıkıcı siber saldırılarla istismar edilebilecek güvenlik açıklarını belirlemek için net hedefler anlamına geliyor" dedi.

Volt Typhoon'un mağduriyet ayak izi, o zamandan beri Afrikalı elektrik iletim ve dağıtım sağlayıcılarını içerecek şekilde genişledi ve düşmanı, Aralık 2023'ün başlarında Ivanti Connect Secure kusurlarının sıfır gün istismarıyla bağlantılı bir tehdit faaliyeti grubu olan UTA0178'a bağlayan kanıtlar var.

Tespitten kaçınmak için büyük ölçüde LotL yöntemlerine dayanan siber casusluk aktörü, 2023'te ortaya çıkan ve kritik altyapıyı ve devlet kurumlarını hedef alan uzun vadeli keşif ve fikri mülkiyet hırsızlığı operasyonları yürüten Gananite ve Laurionite adlı diğer iki yeni gruba katılıyor.

Dragos, "Voltzite çok az alet kullanıyor ve operasyonlarını mümkün olduğunca az yer kaplayarak yürütmeyi tercih ediyor" dedi. "Voltzite, uzun vadeli casusluk ve veri hırsızlığının değerlendirilen niyetiyle tespit kaçırma ve uzun vadeli kalıcı erişime yoğun bir şekilde odaklanıyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.