Çin Bağlantılı Hackerlar F5 Cihazlarını Kullanarak 3 Yıl Boyunca Doğu Asya Firmasına Sızdı

Doğu Asya’da bulunan ve adı açıklanmayan bir kuruluşa karşı yaklaşık üç yıl süren uzun süreli bir saldırının arkasında Çin bağlantılı olduğundan şüphelenilen bir siber casusluk aktörü olduğu ve düşmanın eski F5 BIG-IP cihazlarını kullanarak süreklilik sağladığı ve bunu savunma atlatma amacıyla dahili bir komuta ve kontrol (C&C) olarak kullandığı belirtiliyor.

2023 yılının sonlarında müdahale eden siber güvenlik şirketi Sygnia, bu faaliyeti Velvet Ant adıyla izliyor ve bu tehdidin, karşı önlemlere karşı hızla yön değiştirme ve taktiklerini uyarlama yeteneğine sahip olduğunu belirtiyor.

İsrailli şirket paylaştığı teknik bir raporda “Velvet Ant sofistike ve yenilikçi bir tehdit aktörüdür” dedi. “Müşteri ve finansal bilgilere odaklanarak uzun bir süre boyunca hassas bilgiler topladılar.”

Saldırı zincirleri, Çin çıkarlarıyla bağlantılı casusluk operatörleri tarafından yaygın olarak kullanılan modüler bir uzaktan erişim truva atı (RAT) olan PlugX (diğer adıyla Korplug) adlı bilinen bir arka kapının kullanımını içeriyor. PlugX’in cihazlara sızmak için DLL yan yükleme adı verilen bir tekniğe büyük ölçüde güvendiği bilinmektedir.

Sygnia, tehdit aktörünün PlugX’i yüklemeden önce uç nokta güvenlik yazılımını devre dışı bırakma girişimlerini ve yanal hareket için kullanılan Impacket gibi açık kaynaklı araçları da tespit ettiğini söyledi.

Ayrıca olay müdahale ve iyileştirme çalışmalarının bir parçası olarak, PlugX’in C&C için dahili bir dosya sunucusu kullanan ve böylece kötü amaçlı trafiğin meşru ağ etkinliğine karışmasına izin veren yeniden işlenmiş bir varyantı da tespit edildi.

Şirket, “Bu, tehdit aktörünün ağ içinde PlugX’in iki versiyonunu dağıttığı anlamına geliyordu” dedi. “Harici bir C&C sunucusuyla yapılandırılan ilk sürüm, doğrudan internet erişimi olan uç noktalara yüklendi ve hassas bilgilerin dışarı sızmasını kolaylaştırdı. İkinci versiyonda ise C&C yapılandırması yoktu ve yalnızca eski sunuculara yerleştirilmişti.”

Özellikle ikinci varyantın, ters SSH tüneli üzerinden komutlar vererek harici C&C sunucusuyla iletişim kurmak için gizli bir kanal olarak güncel olmayan F5 BIG-IP cihazlarını kötüye kullandığı tespit edildi ve bir kez daha uç cihazların tehlikeye atılmasının tehdit aktörlerinin uzun süre kalıcılık kazanmasına nasıl izin verebileceğini vurguladı.

WithSecure yakın tarihli bir analizinde, “Kitlesel bir istismar olayının gerçekleşmesi için gereken tek bir şey var, o da savunmasız bir uç hizmet, yani internetten erişilebilen bir yazılım parçası” dedi.

“Bu gibi cihazlar genellikle bir ağı daha güvenli hale getirmek için tasarlanmıştır, ancak bu tür cihazlarda defalarca güvenlik açıkları keşfedilmiş ve saldırganlar tarafından istismar edilerek hedef ağda mükemmel bir dayanak noktası sağlanmıştır.”

Ele geçirilen F5 cihazlarının daha sonra yapılan adli analizleri, tehdit aktörünün C&C sunucusunu her 60 dakikada bir yoklayarak çalıştırılacak komutları arayan PMCD adlı bir aracın yanı sıra ağ paketlerini yakalamaya yönelik ek programlar ve Gelsemium ve Lucky Mouse gibi aktörler tarafından kullanılan EarthWorm adlı SOCKS tünelleme aracının varlığını da ortaya çıkarmıştır.

Hedef ortama sızmak için kullanılan ilk erişim vektörünün (kimlik avı mı yoksa internete açık sistemlerdeki bilinen güvenlik açıklarından faydalanma mı olduğu) tam olarak ne olduğu şu anda bilinmiyor.

Bu gelişme, hassas bilgi toplamak amacıyla Asya’yı hedef aldığı gözlemlenen Unfading Sea Haze, Operation Diplomatic Specter ve Operation Crimson Palace gibi Çin bağlantılı yeni kümelerin ortaya çıkışını takip etmektedir.

 

About The Author

Reply