Yeni Kötü Amaçlı Yazılım, Hassas Bilgileri Çalmak İçin Hedefteki SOHO Yönlendiricilerini Ele Geçirdi
Geçenlerde ZuoRAT olarak bilinen bir RAT'ın uzaktan çalışanları hedeflemek için SOHO yönlendiricilerini ele geçirdiği tespit edildi. 2020 itibariyle, RAT güvenlik uzmanları tarafından tespit edilmedi ve Kuzey Amerika ve Avrupa'daki kullanıcıları hedef alıyor.
Bu sofistike kampanyadaki tehdit aktörleri tarafından kullanılan karmaşıklık ve TTP'lerin, bu kötü niyetli kampanyayı yürüten devlet destekli tehdit aktörlerinin olduğunu açıkça gösterdiğini iddia ediyorlar.
COVID-19 salgınının bir sonucu olarak, bu kampanya uzaktan çalışmaya hızlı bir geçişin yapıldığı anda başlıyor gibi görünüyor.
Kısacası, kurumsal ağa bağlanmak için SOHO yönlendiricilerini kullanan çalışanların sayısı ve evdeki varlıklar bu pandemi nedeniyle önemli ölçüde arttı.
Saldırganlara derin ağ keşif yetenekleri sağlamanın yanı sıra, pasif ağ koklama, saldırganlara trafik toplama yetenekleri sağladı ve ardından bir kimlik doğrulama atlama istismar komut dosyası yardımıyla çok aşamalı ZuoRAT bir yönlendiriciye dağıtıldı.
ZuoRAT, yanal hareketin şu anda tehlikeye girmiş olandan farklı cihazları veya ağları tehlikeye atmasına izin verir. Buna ek olarak, DNS ve HTTP ele geçirmeyi kullanarak, aşağıdakiler gibi daha fazla kötü amaçlı veri dağıtmak da mümkündür:
- Kobalt Saldırısı (Cobalt Strike)
- GoBeacon
- CBeacon
Yönlendirici Bileşeni
Toplam iki yönlendirici bileşeni vardır ve burada bunlardan aşağıda bahsettik:
- Temel İşlevsellik
- Gömülü Exportable İşlevleri
Teknik Analiz
Kurbanların sistemlerine yapılan bu ek kötü amaçlı yazılım dağıtımlarının bir sonucu olarak, tehdit aktörleri aşağıdaki özelliklere erişim kazandı:
- Güvenliği ihlal edilmiş cihazlarda kalıcılık kazanma
- Dosyaları indirme
- Dosya yükleme
- Ağ trafiğini ele geçirme
- Yeni süreçler enjekte etme
- Rasgele komutlar çalıştırma
DNS trafiğini ve HTTPS trafiğini izlemenin yanı sıra, ZuoRAT saldırganların geçici dizinlerde oluşturulan ve ayrılan kurallar oluşturmasına da olanak tanır.
Bu kuralların kullanılmasıyla, saldırganlar kimliklerini gizleyebilirler. Ortaya çıkan kurallar daha sonra kurbanları önceden belirlenmiş kuralları kullanarak kötü amaçlı siteleri ziyaret etmeleri için aldatmak için kullanılabilir.
Ayrıca, bazı uzlaşma yönlendiricilerinin bir botnet'in parçası olduğu da bulundu. Bu yönlendiriciler, komut ve kontrol trafiğini proxyleyerek savunucuların algılama çabalarını azaltmak için kullanıldı.
Öneriler
Aşağıda önerilerden bahsettik:
- IoC'leri kullanarak şüpheli altyapının yanı sıra Windows'taki yükleyicileri ve modülleri izleyin.
- Kullanıcılar için en iyi uygulama, yönlendiricilerini düzenli olarak yeniden başlatmak ve en son güvenlik yamalarını ve güncellemelerini yüklemek olacaktır.
- Ana bilgisayarlarda en etkili EDR çözümlerini kullanmak için, kullanıcılar EDR çözümlerinin doğru şekilde yapılandırıldığından ve düzenli olarak güncellendiğinden emin olmalıdır.
- Güvenlik duruşlarını güçlendirmek ve sağlam algılama yetenekleri uygulamak için şirketler kapsamlı bir Güvenli Erişim Hizmeti Kenarı (SASE) uygulamayı düşünmelidir.
Vereceğim öneriler bu kadardı yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News