Evil Corp tarafından ServHelper arka kapı kampanyalarını yürütmek için kullanılan, TeslaGun adlı yeni keşfedilen bir siber saldırı paneli keşfedildi.
Prodraft Tehdit İstihbaratı (PTI) ekibi tarafından yapılan bir analizden elde edilen veriler, Evil Corp fidye yazılımı çetesinin (diğer adıyla TA505 veya UNC2165, diğer yarım düzine renkli izleme adıyla birlikte) TeslaGun'u kitlesel kimlik avı kampanyaları yürütmek ve daha fazlasına karşı hedefli kampanyalar yürütmek için kullandığını gösteriyor. 8,000'den fazla farklı kuruluş ve kişi. Hedeflerin çoğunluğu, 3,600'den fazla kurbanın bulunduğu ABD'deydi ve bunun dışında dağınık bir uluslararası dağılım vardı.
En az 2019'dan beri ortalıkta dolaşan, uzun süredir çalışan ve sürekli güncellenen bir paket olan ServHelper arka kapı kötü amaçlı yazılımının genişlemesi devam ediyor. Bir rapora göre, 2021'in ikinci yarısında bir kez daha hız kazanmaya başladı. Cisco Talos'tan rapor, sahte yükleyiciler ve Raccoon ve Amadey gibi ilgili yükleyici kötü amaçlı yazılımları gibi mekanizmalar tarafından teşvik edilmiştir.
En son, Trellix'ten tehdit istihbaratı Geçen ay, ServHelper arka kapısının yakın zamanda sistemlere gizli kripto madencileri bıraktığının tespit edildiği bildirildi.
PTI raporuSalı günü yayınlanan makale, TeslaGun'un arkasındaki teknik ayrıntıları ele alıyor ve işletmelerin günümüzde yaygın olan arka kapı siber saldırı trendlerinden bazılarına karşı önemli karşı önlemler alarak ilerlemelerine yardımcı olabilecek bazı ayrıntılar ve ipuçları sunuyor.
Kimlik doğrulama mekanizmalarını atlatan ve kurumsal sistemlerde sessizce kalıcılık sağlayan arka kapı saldırıları, siber güvenlik savunucuları için en endişe verici saldırılardan bazılarıdır. Bunun nedeni, bu saldırıların standart güvenlik kontrolleriyle tespit edilmesinin veya önlenmesinin oldukça zor olmasıdır.
Arka Kapı Saldırganları Saldırı Varlıklarını Çeşitlendiriyor
PTI araştırmacıları, araştırmaları sırasında çok çeşitli farklı kurban profilleri ve kampanyaları gözlemlediklerini ve bunun, ServHelper saldırılarının çeşitli eşzamanlı kampanyalarda kurbanları hedef aldığını gösteren önceki araştırmaları desteklediğini söyledi. Bu, fırsatçı vuruşlar için geniş bir ağ oluşturmaya yönelik ticari marka saldırı modelidir.
Raporda, "TeslaGun kontrol panelinin tek bir örneği, farklı dağıtım yöntemlerini ve saldırı verilerini temsil eden birden fazla kampanya kaydı içeriyor" diye açıklandı. "Kötü amaçlı yazılımın daha yeni sürümleri, bu farklı kampanyaları kampanya kimlikleri olarak kodluyor."
Ancak Siber Saldırganlar Aktif Olarak Kurbanların Profilini Çıkaracak
Aynı zamanda TeslaGun, saldırganların kurbanların profilini çıkardıklarına, bazı noktalarda çok sayıda not aldıklarına ve hedefli arka kapı saldırıları gerçekleştirdiklerine dair pek çok kanıt içeriyor.
"PTI ekibi, TeslaGun panelinin ana kontrol panelinin kurban kayıtlarına eklenen yorumları içerdiğini gözlemledi. Bu kayıtlar, CPU, GPU, RAM boyutu ve internet bağlantı hızı gibi kurban cihaz verilerini gösteriyor." ifadesine yer verilen raporda, bunun kripto madencilik fırsatlarını hedeflemeye işaret ettiği belirtildi. “Öte yandan mağdur yorumlarına göre TA505'in aktif olarak kripto cüzdanlar ve e-ticaret hesapları da dahil olmak üzere çevrimiçi bankacılık veya perakende kullanıcıları aradığı açık.”
Raporda, mağdurların çoğunun finans sektöründe faaliyet gösterdiği ancak bu hedeflemenin yalnızca bununla sınırlı olmadığı belirtiliyor.
Yeniden Satış Arka Kapıdan Para Kazanmanın Önemli Bir Parçasıdır
Raporda, kontrol panelinin kullanıcı seçeneklerinin ayarlanma şeklinin araştırmacılara grubun "iş akışı ve ticari stratejisi" hakkında birçok bilgi sunduğu belirtiliyor. Örneğin, bazı filtreleme seçenekleri "Sat" ve "2 Sat" olarak etiketlendi ve bu gruplardaki mağdurların uzak masaüstü protokolleri (RDP) panel aracılığıyla geçici olarak devre dışı bırakıldı.
Rapora göre "Bu muhtemelen TA505'in bu belirli kurbanları sömürerek hemen kâr elde edemeyeceği anlamına geliyor." "Grup, onları serbest bırakmak yerine, bu kurbanların RDP bağlantılarını diğer siber suçlulara satılmak üzere etiketledi."
PTI raporu, araştırmacıların gözlemlerine göre grubun iç yapısının "şaşırtıcı derecede dağınık" olduğunu ancak üyelerinin hâlâ "kurbanlarını dikkatle izlediğini ve özellikle finans sektöründeki yüksek değerli kurbanlara karşı dikkate değer bir sabır gösterebildiğini" söyledi.
Analiz ayrıca grubun gücünün çevikliği olduğunu ve bunun da zaman içindeki aktiviteyi tahmin etmeyi ve tespit etmeyi zorlaştırdığını belirtiyor.
Yine de arka kapı saldırganları mükemmel değildir ve bu, onların çabalarını engellemek isteyen siber güvenlik profesyonellerine bazı ipuçları verebilir.
“Ancak grup bazı belirgin zayıflıklar sergiliyor. Raporda, TA505'in kurbanların cihazlarındaki gizli bağlantıları aylarca sürdürebilmesine rağmen üyelerinin genellikle alışılmadık derecede gürültülü olduğu belirtildi. “ServHelper'ı yükledikten sonra TA505 tehdit aktörleri, RDP tüneli aracılığıyla kurban cihazlarına manuel olarak bağlanabilir. Bu tünelleri tespit edebilen güvenlik teknolojileri, TA505'in arka kapı saldırılarını yakalamak ve azaltmak için hayati öneme sahip olabilir."
Rusya bağlantılı (ve onaylı) Evil Corp, son beş yılın en üretken gruplarından biri oldu. Göre ABD hükümetiGrup, finansal Truva Atı Dridex'in arkasındaki beyin güvenidir ve WastedLocker gibi fidye yazılımı türlerini kullanan kampanyalarla ilişkileri vardır. Cephaneliği için de bir sürü silah geliştirmeye devam ediyor; geçen hafta bununla bağlantılı olduğu ortaya çıktı Ahududu Robin enfeksiyonları.
PTI, tehdidi izlemek için TA505'i kullanıyor ve fikir birliği sağlam ancak TA505 ve Evil Corp'un aynı grup olması evrensel değil. Geçen ay bir rapor Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi (HC3) "şu anda bu sonucu desteklemiyor" dedi.
