Araştırmacılar, Billbug olarak bilinen devlet destekli siber saldırı grubunun, Mart ayına kadar uzanan geniş kapsamlı bir casusluk kampanyasının bir parçası olarak bir dijital sertifika yetkilisini (CA) tehlikeye atmayı başardığını ve araştırmacıların uyardığı, gelişmiş kalıcı tehdit (APT) oyun kitabındaki endişe verici bir gelişme.
Dijital sertifikalar, yazılımı geçerli olarak imzalamak ve şifreli bağlantıları etkinleştirmek için bir cihazın veya kullanıcının kimliğini doğrulamak için kullanılan dosyalardır. Bu nedenle, bir CA uzlaşması, bir dizi gizli takip saldırısına yol açabilir.
"Bir sertifika yetkilisinin hedeflenmesi dikkat çekicidir, sanki saldırganlar sertifikalara erişmek için yetkiyi başarıyla ele geçirebilmişler, onları potansiyel olarak geçerli bir sertifikayla kötü amaçlı yazılım imzalamak için kullanabilirler ve kurban makinelerde tespit edilmesini önlemeye yardımcı olabilirler." bir rapor Symantec'ten bu hafta. "Ayrıca potansiyel olarak güvenliği ihlal edilmiş sertifikaları HTTPS trafiğini engellemek için kullanabilir."
Araştırmacılar, "Bu potansiyel olarak çok tehlikelidir" dedi.
Devam Eden Siber Uzlaşmalar Seli
Billbug (aka Lotus Blossom veya Thrip), esas olarak Güneydoğu Asya'daki kurbanları hedef alan Çin merkezli bir casusluk grubudur. Büyük oyun avcılığıyla tanınır - yani askeri kuruluşlar, devlet kurumları ve iletişim sağlayıcılar tarafından tutulan sırların peşinden gitmek. Bazen daha geniş bir ağ oluşturarak daha karanlık motivasyonlara işaret ediyor: Geçmişte, uyduların hareketlerini izleyen ve kontrol eden bilgisayarları etkilemek için bir havacılık operatörüne sızdı.
En son alçakça faaliyette, APT Asya'daki hükümet ve savunma kurumlarının bir panteonunu vurdu ve bir vakada özel kötü amaçlı yazılımıyla bir devlet ağında "çok sayıda makineye" istila etti.
Symantec Threat Hunter Team kıdemli istihbarat analisti Brigid O Gorman, "Bu kampanya en az Mart 2022'den Eylül 2022'ye kadar devam ediyordu ve bu faaliyetin devam ediyor olması muhtemeldir" diyor. “Billbug, yıllar boyunca birden fazla kampanya yürüten köklü bir tehdit grubudur. Symantec'in şu anda buna dair bir kanıtı olmasa da, bu faaliyetin ek kuruluşlara veya coğrafyalara yayılması olasıdır."
Siber Saldırılara Tanıdık Bir Yaklaşım
CA'da olduğu kadar bu hedeflerde de ilk erişim vektörü, savunmasız, halka açık uygulamaların kullanılması olmuştur. Tehdit aktörleri, kod yürütme becerisi kazandıktan sonra, ağların derinliklerine inmeden önce bilinen, özel Hannotog veya Sagerunex arka kapılarını kurmaya devam eder.
Daha sonraki öldürme zinciri aşamaları için, Billbug saldırganları birden çok arazi dışında yaşayan ikili dosyalar (LoLBins)Symantec'in raporuna göre AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail ve WinRAR gibi.
Bu yasal araçlar, bir ağı eşlemek için Active Directory'yi sorgulamak, dosyaları sızdırmak için ZIP'lemek, uç noktalar arasındaki yolları ortaya çıkarmak, NetBIOS ve bağlantı noktalarını taramak ve tarayıcı kök sertifikalarını yüklemek ve ek kötü amaçlı yazılım indirmek gibi çeşitli benzer kullanımlar için kötüye kullanılabilir. .
Çift kullanımlı araçlarla birleştirilmiş özel arka kapılar, geçmişte APT tarafından kullanılan tanıdık bir ayak izidir. Ancak halkın maruz kalmasıyla ilgili endişe eksikliği, grup için kurs için eşit.
Gorman, "Billbug'un, geçmişte grupla bağlantılı olan araçları yeniden kullanarak, bu etkinliğin kendisine atfedilme olasılığından caydırılmaması dikkat çekici" diyor.
"Grubun arazi dışında yaşamayı ve çift kullanımlı araçları yoğun bir şekilde kullanması da dikkat çekicidir ve kuruluşların yalnızca kötü amaçlı yazılımları tespit etmekle kalmayan, aynı zamanda bunları algılayabilen güvenlik ürünlerine sahip olmaları gerektiğinin altını çizer. meşru araçların potansiyel olarak kullanılıp kullanılmadığını da anlayın şüpheli veya kötü niyetli bir şekilde.”
Symantec, adı açıklanmayan CA'ya etkinlik hakkında bilgi vermesi için bildirimde bulundu, ancak Gorman, yanıt veya düzeltme çabalarına ilişkin daha fazla ayrıntı vermeyi reddetti.
Şimdiye kadar grubun gerçek dijital sertifikaları tehlikeye atabileceğine dair bir gösterge olmasa da, araştırmacı şu tavsiyede bulunuyor: "Kurumlar, tehdit aktörleri sertifika yetkililerine erişim elde edebiliyorsa, kötü amaçlı yazılımların geçerli sertifikalarla imzalanabileceğinin farkında olmalıdır."
Genel olarak kuruluşlar, potansiyel bir saldırı zincirinin her noktasında riski azaltmak için birden fazla algılama, koruma ve güçlendirme teknolojileri kullanan derinlemesine bir savunma stratejisi benimsemelidir, diyor.
Gorman, "Symantec, yönetici hesabı kullanımının uygun denetim ve kontrolünün uygulanmasını da tavsiye eder," dedi. "Ayrıca, yönetici araçları için kullanım profilleri oluşturmanızı öneririz, çünkü bu araçların birçoğu saldırganlar tarafından bir ağ üzerinden yanal olarak fark edilmeden hareket etmek için kullanılır. Genel olarak, çok faktörlü kimlik doğrulama (MFA), güvenliği ihlal edilmiş kimlik bilgilerinin kullanışlılığını sınırlamaya yardımcı olabilir."
