hack-haber

InvisiMole Hackerları Yüksek Profilli Askeri ve Diplomatik Kuruluşları Hedefliyor

Siber güvenlik araştırmacıları bugün, casusluk için Doğu Avrupa'daki yüksek profilli askeri ve diplomatik varlıklara girişen zor bir tehdit grubunun modus operatisini ortaya çıkardı.

Bulgular, siber güvenlik firması ESET ve etkilenen firmalar tarafından yapılan ortak bir analizin bir parçasıdır ve bu da InvisiMole'un operasyonlarına ve grubun taktikleri, araçları ve prosedürlerine (TTP'ler) kapsamlı bir bakışla sonuçlanmaktadır.

"ESET araştırmacıları etkilenen kuruluşlarla işbirliği içinde bu saldırıların yürüttüğü bir soruşturma InvisiMole en backdoorların teslim yanal hareketi ve yürütülmesi için kullanılan kapsamlı ve sofistike alet setleri ortaya çıkarmak başardık," şirketin söz konusu raporun The paylaşıldı Hacker Haberleri.
 

Gamaredon Grubu ile İşbirliği


İlk kez 2018'de keşfedilen InvisiMole, en azından 2013'ten beri Ukrayna ve Rusya'daki hedefli siber casusluk operasyonlarıyla bağlantılı olarak aktif. Radarın altına düştükten sonra, tehdit aktörü geçen yıl geç saatlerde güncellenmiş bir araç seti ve kötü amaçlı yazılımları gizlemek için daha önce bildirilmemiş taktiklerle geri döndü.

ESET araştırmacıları daha önce bir Haziran 2018 raporunda belirtmiş olan "InvisiMole modüler bir mimariye sahip, yolculuğuna bir sarıcı DLL ile başlıyor ve faaliyetlerini kaynaklarına gömülü iki modül kullanarak gerçekleştiriyor." "Modüllerin her ikisi de, birlikte hedef hakkında mümkün olduğunca fazla bilgi toplama olanağı sağlayan zengin özelliklere sahip arka kapılardır."

Zengin özelliklere sahip casus yazılımların, RC2FM ve RC2CL olarak adlandırılan sistemde, sistem değişiklikleri yapma, kurbanların coğrafi konumlarını izlemek için kablosuz ağları tarama, kullanıcı bilgilerini toplama ve hatta güvenliği ihlal edilen makinede bulunan hassas dosyaları yükleme yetenekleri bulundu. Ancak kötü amaçlı yazılım dağıtımının kesin mekanizması şimdiye kadar belirsiz kaldı.

ESET sadece kötü niyetli operasyonları gizlice yürütmek için meşru uygulamalardan yararlanan " karadan yaşamak " tekniklerinin kanıtını bulmakla kalmadı, aynı zamanda Ukraynalı kurumlara karşı uzun bir siber saldırı öyküsü olan Gamaredon grubu adı verilen ikinci bir tehdit aktörü ile bağları keşfetti .

Araştırmacılar, "Gamaredon, çok daha gizli bir yükün yolunu açmak için kullanılıyor - telemetrimize göre, Gamaredon'un hedeflerinin, muhtemelen saldırganlar tarafından özellikle önemli sayılan gelişmiş InvisiMole kötü amaçlı yazılımına" yükseltildi ". kötü amaçlı yazılım ancak InvisiMole'un yürütme yöntemlerinin çoğunun yükseltilmiş izinler gerektirmesi nedeniyle saldırganlar yönetici ayrıcalıkları kazandıktan sonra dağıtılır.

İlk uzlaşma gerçekleştiğinde, InvisiMole , RDP ve SMB protokollerindeki BlueKeep (CVE-2019-0708) ve EternalBlue (CVE-2017-0144) güvenlik açıklarından yararlanır veya ağda yanal olarak yayılmak için truva atı belgelerini ve yazılım yükleyicilerini kullanır.

Kötü amaçlı yazılımlar, RC2CL ve RC2FM'nin güncellenmiş sürümlerini arka planlarda kullanmanın yanı sıra, ek modülleri indirmek için yeni bir TCS indiricisinden ve bir DNS indiricisinden yararlanır ve bu da saldırgan kontrollü bir sunucuya iletişimleri maskelemek için DNS tünelinden yararlanır.

"DNS tünellemede, güvenliği ihlal edilmiş istemci doğrudan C&C sunucusuyla iletişim kurmaz; yalnızca kurban makinesinin normalde iletişim kuracağı ve IP adresini bir etki alanı çözümlemek için istek gönderdiği iyi huylu DNS sunucularıyla iletişim kurar." araştırmacılar dedi. "DNS sunucusu daha sonra, saldırgan tarafından denetlenen bir ad sunucusu olan istekte etki alanından sorumlu ad sunucusuna başvurur ve yanıtını istemciye geri gönderir."
 

RC2CL ve RC2FM: Tam Özellikli Casus Yazılım


Dahası, son yükler, RC2CL ve RC2FM, kötü niyetli kabuk kodunu meşru araçlarla ve savunmasız yürütülebilir dosyalarla birleştirerek bir araya getirilen en az dört farklı yürütme zinciri aracılığıyla teslim edildi. 




Yorumlar Toplam Yorum Henüz yorum Yapan Yok


Yorum Yap


Scroll to Top