Siber Muhbir

Mandiant, bu hafta yayınlanan bir analizde, "Bu aileler, tehdit aktörlerinin kimlik doğrulamayı atlatmasına ve bu cihazlara arka kapı erişimi sağlamasına izin veriyor" dedi. Google'ın sahip olduğu tehdit istihbaratı firması, tehdit aktörünü UNC5221 takma adı altında takip ediyor.

Saldırılar, hassas örnekleri ele geçirmek için bir kimlik doğrulama atlama kusuru (CVE-2023-46805) ve bir kod enjeksiyon güvenlik açığından (CVE-2024-21887) oluşan bir istismar zincirinden yararlanır.

Faaliyeti UTA0178 adlı şüpheli bir Çinli casusluk aktörüne bağlayan Volexity, ikiz kusurların ilk erişim elde etmek, web kabuklarını dağıtmak, yasal dosyaları arka kapıya kapatmak, kimlik bilgilerini ve yapılandırma verilerini yakalamak ve kurban ortamına daha fazla yönelmek için kullanıldığını söyledi.

Ivanti'ye göre, izinsiz girişler 10'dan az müşteriyi etkiledi ve bu da bunun yüksek hedefli bir kampanya olabileceğini gösteriyor. İki güvenlik açığı (gayri resmi olarak ConnectAround olarak adlandırılır) için yamaların 22 Ocak haftasında kullanıma sunulması bekleniyor.

Mandiant'ın saldırılara ilişkin analizi, ICS içindeki meşru dosyalara kötü amaçlı kod enjekte etmenin ve sonraki etkinlikleri kolaylaştırmak için BusyBox ve PySoxy gibi diğer meşru araçları kullanmanın yanı sıra beş farklı özel kötü amaçlı yazılım ailesinin varlığını ortaya çıkardı.

Şirket, "Cihazın belirli bölümlerinin salt okunur olması nedeniyle, UNC5221, dosya sistemini okuma/yazma olarak yeniden bağlamak ve LIGHTWIRE web kabuğunu meşru bir Connect Secure dosyasına yazan bir kabuk komut dosyası damlalığı olan THINSPOOL'un dağıtımını sağlamak için bir Perl komut dosyasından (sessionserver.pl) yararlandı" dedi.

LIGHTWIRE, güvenliği ihlal edilmiş cihazlara kalıcı uzaktan erişim sağlamak için tasarlanmış "hafif dayanaklar" olan WIREFIRE (diğer adıyla GIFTEDVISITOR) olmak üzere iki web kabuğundan biridir. LIGHTWIRE Perl CGI ile yazılırken, WIREFIRE Python'da uygulanmaktadır.

Saldırılarda ayrıca WARPWIRE adlı JavaScript tabanlı bir kimlik bilgisi hırsızı ve dosya indirme/yükleme, ters kabuk oluşturma, bir proxy sunucusu oluşturma ve birden çok uç nokta arasında trafik göndermek için bir tünel sunucusu kurma yeteneğine sahip ZIPLINE adlı pasif bir arka kapı da kullanılıyor.

Mandiant ayrıca, "Bu, bunların fırsatçı saldırılar olmadığını ve UNC5221 bir yama kaçınılmaz olarak yayınlandıktan sonra tehlikeye attığı yüksek öncelikli hedeflerin bir alt kümesindeki varlığını sürdürmeyi amaçladığını gösteriyor" diye ekledi.

UNC5221 daha önce bilinen herhangi bir grupla veya belirli bir ülkeyle bağlantılı değildir, ancak sıfır gün kusurlarını silah haline getirerek uç nokta altyapısının hedeflenmesi ve algılamayı atlamak için uzlaşma komuta ve kontrol (C2) altyapısının kullanılması, gelişmiş bir kalıcı tehdidin (APT) tüm özelliklerini taşımaktadır.

Mandiant, "UNC5221'in faaliyeti, ağların kenarında sömürmenin ve yaşamanın casusluk aktörleri için uygun ve çekici bir hedef olmaya devam ettiğini gösteriyor" dedi.

Güncelleştirmek

Ivanti, 10 Ocak 2024'te yayınlandığında "10'dan az" olan "güvenlik açıklarından etkilenen 20'den az müşterinin farkında" olduğunu belirtmek için tavsiyesini güncelledi. Bu, daha fazla şirketin cihazlarını güvenlik ihlali göstergelerine karşı taramak için bütünlük kontrol aracını çalıştırdıkça sayının artacağını gösteriyor.

ICS Sıfır Günleri Artık Yaygın Bir Şekilde Sömürülüyor

15 Ocak 2024'te Volexity, ICS VPN cihazlarındaki iki sıfır günden yararlanan saldırıların küreselleştiğini ve dünya çapında 1.700'den fazla cihaza bulaştığını açıkladı.

Hedefler arasında hükümet ve askeri departmanlar, telekom şirketleri, savunma müteahhitleri, teknoloji firmaları, bankacılık ve finansal hizmetler, danışmanlık kuruluşları ve uzay, havacılık ve mühendislik kuruluşları yer alıyor.

Şirket, "UTA0178 ötesindeki ek tehdit aktörleri artık istismara erişebiliyor gibi görünüyor ve aktif olarak cihazlardan yararlanmaya çalışıyor" dedi ve yeni bulunan güvenliği ihlal edilmiş cihazlardan bazılarının WIREFIRE web kabuğunun farklı bir sürümüyle arka kapıya kapatıldığını da sözlerine ekledi.

Bu aynı zamanda, UTA0188 olarak izlediği başka bir tehdit aktörünün şüpheli istismar girişimlerini de içerir.

Ivanti Toplu Hack'leri Doğruladı

Ivanti, 16 Ocak 2024'te yeni bir danışma belgesinde, kendi bulgularının Volexity'nin son gözlemleriyle "tutarlı" olduğunu ve kitlesel sömürünün, şirketin güvenlik açıklarını kamuya açıklamasından bir gün sonra, 11 Ocak civarında başlamış gibi göründüğünü doğruladı.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.