Türk bilgisayar korsanları dünya genelinde güvenliği düşük MS SQL sunucularından yararlanıyor

Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, paylaşılan teknik bir raporda, "Analiz edilen tehdit kampanyası, güvenliği ihlal edilmiş ana bilgisayara 'erişim' satışı veya fidye yazılımı yüklerinin nihai teslimi olmak üzere iki yoldan biriyle sona eriyor gibi görünüyor" dedi.

Türkiye kökenli aktörlerle bağlantılı olan kampanya, siber güvenlik firması tarafından RE#TURGENCE olarak kodlandı.

Sunuculara ilk erişim, kaba kuvvet saldırılarının gerçekleştirilmesini ve ardından güvenliği ihlal edilmiş ana bilgisayarda kabuk komutlarını çalıştırmak için xp_cmdshell yapılandırma seçeneğinin kullanılmasını gerektirir. Bu etkinlik, Eylül 2023'te ortaya çıkan DB#JAMMER adlı önceki bir kampanyanın etkinliğini yansıtıyor.

Bu aşama, gizlenmiş bir Cobalt Strike işaret yükünü getirmekten sorumlu olan uzak bir sunucudan PowerShell betiğinin alınmasının yolunu açar.

Exploitation sonrası araç seti daha sonra makineye erişmek ve kimlik bilgilerini toplamak için Mimikatz ve keşif yapmak için Advanced Port Scanner gibi ek araçlar indirmek için bağlı bir ağ paylaşımından AnyDesk uzak masaüstü uygulamasını indirmek için kullanılır.

Yanal hareket, programları uzak Windows ana bilgisayarlarında çalıştırabilen PsExec adlı meşru bir sistem yönetim yardımcı programı aracılığıyla gerçekleştirilir.

Bu saldırı zinciri, nihayetinde, bir varyantı DB#JAMMER kampanyasında da kullanılan Mimic fidye yazılımının konuşlandırılmasıyla sonuçlanıyor.

Kolesnikov, verdiği demeçte, "İki kampanyada kullanılan göstergeler ve kötü niyetli TTP'ler tamamen farklı, bu yüzden bunların iki farklı kampanya olma ihtimali çok yüksek" dedi.

"Daha spesifik olarak, ilk sızma yöntemleri benzer olsa da, DB # JAMMER biraz daha karmaşıktı ve tünelleme kullanıyordu. RE#TURGENCE daha hedeflidir ve normal faaliyetlere uyum sağlamak için AnyDesk gibi meşru araçları ve uzaktan izleme ve yönetimi kullanma eğilimindedir."

Securonix, AnyDesk'in pano paylaşım özelliğinin etkinleştirilmesi nedeniyle tehdit aktörleri tarafından pano etkinliğini izlemesine izin veren bir operasyonel güvenlik (OPSEC) hatasını ortaya çıkardığını söyledi.

Bu, onların Türk kökenlerini ve Steam'deki bir profile ve SpyHack adlı bir Türk hack forumuna karşılık gelen çevrimiçi takma adları atseverse'yi toplamayı mümkün kıldı.

Araştırmacılar, "Kritik sunucuları doğrudan internete maruz bırakmaktan her zaman kaçının" diye uyardı. "RE#TURGENCE vakasında, saldırganlar ana ağın dışından sunucuya doğrudan kaba kuvvetle girebildiler."

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği