Hizbullahla bağları olduğu öne sürülen bir APT grubu, zararlı yazılım deposunu dünya çapındaki şirketlere sızmak ve değerli bilgilere ulaşmak için uzaktan erişimli bir Trojanın (RAT) yeni versiyonuyla güçlendirdi.
ClearSky araştırma ekibi tarafından yayınlanan yeni bir raporda 2020’nin başından beri halka dönük en az 250 web sunucu hacklendiği söylendi. Hackleme, kötü niyetli aktörler tarafından istihbarat elde etmek ve şirketlerin veritabanını çalmak için yapıldı.
Organize edilmiş izinsiz girişler ABD, İngiltere, Mısır, Ürdün, Lübnan, Suudi Arabistan, İsrail ve Filistin’de yer alan birçok şirketi vurdu. Kurbanların büyük çoğunluğunu telekom işletmeleri (Etisalat, Mobily, Vodafone Mısır), internet servis sağlayıcıları (SaudiNet, TE Data) ve altyapı ile yer sağlayıcıları (Secured Servers LLC, iomart) oluşturuyor.
İlk olarak 2015’te belgelenen Volatile Cedar adlı tehdit grubu çok sayıda hedefe çeşitli saldırı teknikleri kullanarak gizlice nüfuz etmesiyle biliniyor. Bunlar arasında Explosive kod adlı özel yapım bir zararlı yazılım implantı var.
‘VOLATİLE CEDAR’ HİZBULLAHIN SİBER BİRİMİ Mİ?
Daha önce 2015’teki bir siber casusluk girişimiyle bağlantılı olarak Volatile Cedar’ın Lübnan kökenli bir grup ve hatta Hizbullahın siber birimi olduğundan şüpheleniliyordu. Bu tehdit grubu askeri teçhizatları, telekom şirketlerini, medya kuruluşlarını ve üniversiteleri hedef almıştı.
2020 saldırıları da çok farklı değildi. ClearSky tarafından açığa çıkarılan hack faaliyeti, Explosive RAT’in varyantları olan 2015 ve 2020 kod örtüşmelerine bağlı olarak Hizbullah’a atfedilen operasyonlarla eşleşti. Bunlar ‘1-day’ olarak bilinen zaaflardan istifade edilerek yamasız Oracle ve Atlas web sunucularındaki kurbanların ağlarına yerleştirilmişti.
WEB SHELL KULLANDILAR
İlk dayanağı elde etmek için hücum vektörü olarak sunuculardaki 3 zafiyeti (CVE-2019-3396, CVE-2019-11581 ve CVE-2012-3152) kullanan saldırganlar, bir web shell ve bir JSP dosya tarayıcısı yerleştirdiler. Her ikisi de ağ boyunca yanlamasına ilerlemek, ilave malware eklemek ve Explosive RAT’i indirmek için kullanılıyordu. Tüm bunlar klavye vuruşlarını kaydetme, ekran görüntülerini yakalama ve gelişigüzel komutlar çalıştırma gibi imkanlar sağlıyordu.
ClearSky araştırmacılarına göre, “Web shell, hücuma uğramış web sunucu üzerinde çeşitli casusluk operasyonları yürütmek için kullanılıyor. Bunlar arasında sonraki saldırılar için olası mal varlıklarının yerini belirleme, dosya yerleştirme, sunucu konfigürasyonu ve daha fazlası var.” Ama bu, görevleri yerine getirmek ve bir komuta-kontrol (C2) sunucusuna sonuçları iletmek için yükseltilmiş ayrıcalıklar temin etmeden önce kullanılmıyor.
ClearSky’ın raporuna göre gizliliği ihlal edilmiş makine ve halihazırda şifrelenmiş C2 sunucu arasındaki bağlantılarla birlikte, Explosive RAT’in ilk görülmesinden bu yana beş yıl içerisinde hata ayıklamaya karşı implanta son değişikliğinde (V4) yeni özellikler eklendi.
İranlı hackerlar İsrail su şebekesine siber saldırı düzenledi
HALKA DÖNÜK SAVUNMASIZ WEB SUNUCULARI HEDEF ALINDI
Kötü niyetli aktörlerin göze batmamaya çalışması şaşırtıcı değil; ancak Volatile Cedar’ın 2015’ten beri hiç dikkat çekmeden saklanmayı başarması, geri kalan zamanda fark edilmemek için uzun dönemler boyunca operasyonları durdurmuş olabileceğine işaret ediyor.
ClearSky araştırmacılarının belirttiğine göre, grubun web shell’i başlıca hack aracı olarak kullanması, araştırmacıları “isnat etme anlamında çıkmaza” sürüklemeyi amaçlıyor olabilir.
Araştırmacılar son olarak şunu ekledi: “Cedar Lübnan odağını belirgin bir şekilde değiştirdi. İlk olarak, bilgisayarlara başlangıç erişim noktası olarak saldırdılar. Daha sonra kurbanların ağlarına doğru ilerlediler. Daha da ileri giderek halka dönük savunmasız web sunucularını hedef aldılar.”
Siber Bülten abone listesine kaydolmak için formu doldurunuz
