Siber Muhbir

MooBot adlı botnet'in, APT28 olarak bilinen Rusya bağlantılı bir tehdit aktörü tarafından gizli siber operasyonları kolaylaştırmak ve takip eden istismar için özel kötü amaçlı yazılım bırakmak için kullanıldığı söyleniyor. Rusya Genelkurmay Başkanlığı'na (GRU) bağlı APT28'in en az 2007'den beri aktif olduğu biliniyor.

Yetkililer, APT28 aktörlerinin "kimlik bilgilerini toplamak, NTLMv2 özetlerini toplamak, proxy ağ trafiğini toplamak ve hedef odaklı kimlik avı açılış sayfalarını ve özel araçları barındırmak için küresel olarak güvenliği ihlal edilmiş EdgeRouter'ları kullandığını" söyledi [PDF].

Çek Cumhuriyeti, İtalya, Litvanya, Ürdün, Karadağ, Polonya, Slovakya, Türkiye, Ukrayna, BAE ve ABD'de havacılık ve savunma, eğitim, enerji ve kamu hizmetleri, hükümetler, konaklama, imalat, petrol ve gaz, perakende, teknoloji ve ulaşım sektörlerini hedef alan saldırılarla düşmanın EdgeRouter kullanımı 2022 yılına kadar uzanıyor.

MooBot saldırıları, OpenSSH truva atlarını dağıtmak için varsayılan veya zayıf kimlik bilgilerine sahip yönlendiricileri hedeflemeyi gerektirir ve APT28, kimlik bilgilerini, proxy ağ trafiğini, ana bilgisayar kimlik avı sayfalarını ve diğer araçları toplamak için bash komut dosyası ve diğer ELF ikili dosyalarını sağlamak için bu erişimi elde eder.

Bu, siteler arası komut dosyası çalıştırma ve tarayıcıda tarayıcı (BitB) hedef odaklı kimlik avı kampanyaları aracılığıyla toplanan, özel olarak hedeflenen web posta kullanıcılarına ait hesap kimlik bilgilerini yüklemek için Python komut dosyalarını içerir.

APT28 ayrıca, Microsoft Outlook'ta NT LAN Manager (NTLM) karmalarının çalınmasına olanak tanıyabilecek ve herhangi bir kullanıcı etkileşimi gerektirmeden bir geçiş saldırısı gerçekleştirebilecek, artık yamalanmış bir kritik ayrıcalık yükseltme kusuru olan CVE-2023-23397'nin (CVSS puanı: 9.8) istismarıyla da bağlantılıdır.

Kötü amaçlı yazılım cephaneliğindeki bir diğer araç, komuta ve kontrol (C2) altyapısı olarak güvenliği ihlal edilmiş Ubiquiti EdgeRouter'ları kullanan kurban makinelerinde rastgele komutlar yürütebilen bir Python arka kapısı olan MASEPIE'dir.

Ajanslar, "Güvenliği ihlal edilmiş Ubiquiti EdgeRouter'lara kök erişimi sayesinde, APT28 aktörleri, araçları yüklemek ve kötü niyetli kampanyalar yürütürken kimliklerini gizlemek için Linux tabanlı işletim sistemlerine sınırsız erişime sahip" dedi.

Kuruluşların, dosya sistemlerini kötü amaçlı dosyalardan temizlemek, en son üretici yazılımı sürümüne yükseltmek, varsayılan kimlik bilgilerini değiştirmek ve uzaktan yönetim hizmetlerinin açığa çıkmasını önlemek için güvenlik duvarı kurallarını uygulamak için yönlendiricileri donanım fabrika ayarlarına sıfırlamaları önerilir.

Vahiyler, ulus devlet bilgisayar korsanlarının saldırılar için bir fırlatma rampası olarak yönlendiricilere giderek daha fazla güvendiklerinin ve bunları VPNFilter, Cyclops Blink ve KV-botnet gibi botnet'ler oluşturmak ve kötü niyetli faaliyetlerini yürütmek için kullandıklarının bir işaretidir.

Bülten, Five Eyes ülkelerinin Rusya'nın Dış İstihbarat Servisi'ne (SVR) bağlı tehdit grubu ve SolarWinds, Microsoft ve HPE'ye yönelik saldırıların arkasındaki varlık olan APT29'u hedef kuruluşlardaki bulut ortamlarına erişmek için hizmet hesapları ve hareketsiz hesaplar kullandığı için çağırmasından bir gün sonra geldi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.