21 Eylül 2023THNSiber Tehdit / Fidye Yazılımı
Mali motivasyona sahip bir tehdit aktörünün bir kişi olduğu ortaya çıktı ilk erişim komisyoncusu (IAB), diğer saldırganların fidye yazılımı gibi devam eden saldırılar gerçekleştirmesi için güvenliği ihlal edilmiş kuruluşlara erişim satıyor.
SecureWorks Karşı Tehdit Birimi (CTU), e-suç grubunu adlandırdı Altın MelodiPeygamber Örümcek (CrowdStrike) ve UNC961 (Mandiant) adlarıyla da bilinir.
Siber güvenlik şirketi, “Finansal motivasyona sahip bu grup, en az 2017’den beri faaliyet gösteriyor ve yama yapılmamış internete bakan sunuculardaki güvenlik açıklarından yararlanarak kuruluşların güvenliğini tehlikeye atıyor.” söz konusu.
“Kurban bilimi, devlet destekli bir tehdit grubu tarafından casusluk, yıkım veya düzeni bozma amacıyla yürütülen hedefli bir kampanyadan ziyade, finansal kazanç amaçlı fırsatçı saldırıları akla getiriyor.”
Altın Melodi önceden bağlantılı ile saldırılar JBoss Messaging (CVE-2017-7504), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750 ve CVE-2020-14882), GitLab (CVE-2021-22205), Citrix’teki güvenlik kusurlarından yararlanma ShareFile Depolama Bölgeleri Denetleyicisi (CVE-2021-22941), Atlassian Confluence (CVE-2021-26084), ForgeRock AM (CVE-2021-35464) ve Apache Log4j (CVE-2021-44228) sunucuları.
Siber suç grubunun, 2020 ortalarından itibaren Kuzey Amerika, Kuzey Avrupa ve Batı Asya’daki perakende, sağlık, enerji, finansal işlemler ve yüksek teknoloji kuruluşlarına saldırılar düzenleyerek mağduriyet ayak izini genişlettiği gözlemlendi.
Mandiant, Mart 2023’te yayınlanan bir analizde, “UNC961 izinsiz giriş faaliyetinin birçok durumda, farklı takip aktörleri tarafından Maze ve Egregor fidye yazılımının yayılmasından önce gerçekleştiğini” söyledi.
Daha da fazlası tarif edildi grup “ilk erişim işlemlerine yönelik fırsatçı bakış açıları açısından becerikli” olarak nitelendirdi ve “kamuya açık yararlanma kodunu kullanarak yakın zamanda açıklanan güvenlik açıklarından yararlanarak ilk erişimi sağlamak için uygun maliyetli bir yaklaşım kullandığını” belirtti.
Web kabukları, yerleşik işletim sistemi yazılımı ve kamuya açık yardımcı programlardan oluşan çeşitli cephaneliğe güvenmenin yanı sıra, GOTROJ (aka MUTEPUT), BARNWORK, HOLEDOOR, DARKDOOR gibi özel uzaktan erişim truva atlarını (RAT’lar) ve tünel açma araçlarını kullandığı bilinmektedir. AUDITUNNEL, HOLEPUNCH, LIGHTBUNNY ve HOLERUN, isteğe bağlı komutları yürütmek, sistem bilgilerini toplamak ve sabit kodlanmış bir IP adresiyle ters bir tünel oluşturmak için kullanılır.
Gold Melody’yi Temmuz 2020 ile Temmuz 2022 arasındaki beş saldırıyla ilişkilendiren Secureworks, bu saldırıların Oracle E-Business Suite’i etkileyenler de dahil olmak üzere farklı bir dizi kusurun kötüye kullanılmasına yol açtığını söyledi (CVE-2016-0545), Apache Struts (CVE-2017-5638), Sitecore XP (CVE-2021-42237) ve ilk erişimi elde etmek için Flexera FlexNet’i (CVE-2021-4104) kullanın.
Yapay Zeka ve Yapay Zeka: Yapay Zeka Destekli Risklere Karşı Yapay Zeka Savunmalarından Yararlanma
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
Başarılı bir dayanak noktası, kalıcılık için web kabuklarının konuşlandırılması ve ardından enfeksiyon zincirinde kullanılan araçları hazırlamak için ele geçirilen ana bilgisayarda dizinler oluşturulmasıyla sağlanır.
Şirket, “Gold Melody, kurbanın ortamını anlamak için önemli miktarda tarama yapıyor” dedi. “Tarama, erişim elde edildikten kısa bir süre sonra başlıyor ancak izinsiz giriş boyunca tekrarlanıyor ve devam ediyor.”
Keşif aşaması, kimlik bilgilerinin toplanması, yanal hareket ve veri sızmasının yolunu açar. Bununla birlikte, beş saldırının tümü sonuçta başarısız oldu.
Şirket, “Gold Melody, diğer tehdit aktörlerine erişim satan, finansal motivasyona sahip bir IAB görevi görüyor” dedi. “Alıcılar daha sonra, muhtemelen fidye yazılımı dağıtımı yoluyla şantaj yoluyla erişimden para kazanıyor.”
“Erişim için internete yönelik yama yapılmamış sunuculardaki güvenlik açıklarından yararlanmaya olan güveni, güçlü yama yönetiminin önemini güçlendiriyor.”