Zor ToddyCat APT, Microsoft Exchange Sunucularını Hedefliyor

ToddyCat adlı gelişmiş bir kalıcı tehdit (APT) grubunun, Asya ve Avrupa'daki yüksek profilli hükümet ve askeri tesislerin Microsoft Exchange sunucularını hedef alan bir dizi saldırının arkasında olduğuna inanılıyor. Araştırmacılara göre kampanyalar Aralık 2020'de başladı ve şu ana kadar karmaşıklıkları nedeniyle büyük ölçüde yeterince anlaşılmadı.

Kaspersky'den Giampaolo Dedola güvenlik araştırmacısı şunları yazdı: "İlk saldırı dalgası, genellikle 80 ve 443 numaralı bağlantı noktalarında çalışan karmaşık bir pasif arka kapı olan Samurai'nin ele geçirildiği Microsoft Exchange Sunucularını özellikle hedef aldı."APT'yi özetleyen bir raporda.

Araştırmacılar ToddyCat a'nın nispeten yeni bir APT olduğunu ve "bu aktör hakkında çok az bilgi" bulunduğunu söyledi.

APT, Exchange Server ortamında Samurai ve Ninja adı verilen kötü amaçlı yazılımların bulunduğu iki pasif arka kapıdan yararlanıyor. Araştırmacılar, bunların saldırganlar tarafından kurbanın donanımının ve ağının tam kontrolünü ele geçirmek için kullanıldığını söylüyor.

Samurai kötü amaçlı yazılımı, kötü şöhretli bir yazılım tarafından başlatılan çok aşamalı bir enfeksiyon zincirinin parçasıydı. China Chopper ve web kabuklarına güveniyor Kaspersky'nin raporuna göre, Aralık 2020'den itibaren Tayvan ve Vietnam'daki seçilen değişim sunucusundaki açıklardan yararlanılacak.

Araştırmacılar, kötü amaçlı yazılımın "rastgele C# kodu çalıştırma ve saldırganın uzaktaki sistemi yönetmesine ve hedeflenen ağ içinde yatay olarak hareket etmesine olanak tanıyan birden fazla modülle birlikte kullanıldığını" belirtti. Bazı durumlarda Samuray arka kapısının Ninja adı verilen başka bir kötü amaçlı programın başlatılmasına yol açtığını söylediler.

ToddyCat'in tehdit faaliyetleri siber güvenlik firması tarafından da takip edildi ESETvahşi doğada görülen "faaliyet kümesi"ni Websiic olarak adlandırdı. Bu arada GTSC'deki araştırmacılar, grubun enfeksiyon vektörleri ve tekniklerinin başka bir bölümünü tespit etti bir raporda kötü amaçlı yazılımın damlalık kodunun tesliminin ana hatlarını çiziyor.

Kaspersky, "Bununla birlikte, bildiğimiz kadarıyla, kamuya açık hesapların hiçbirinde, bulaşma zincirinin tamamına veya bu grubun operasyonunun bir parçası olarak dağıtılan kötü amaçlı yazılımın sonraki aşamalarına ilişkin görüşler belirtilmedi" diye yazdı.

Yıllar İçinde Exchange Sunucusuna Yapılan Çok Sayıda Saldırı Dizisi

Aralık 2020 ile Şubat 2021 arasındaki dönemde ilk dalga saldırılar Tayvan ve Vietnam’daki sınırlı sayıdaki sunuculara gerçekleştirildi.

Sonraki dönemde ise Şubat 2021 ile Mayıs 2021 arasında araştırmacılar saldırılarda ani bir artış gözlemledi. İşte o zaman tehdit aktörünün sistemi kötüye kullanmaya başladığını söylediler. ProxyOturum açma İran, Hindistan, Malezya, Slovakya, Rusya ve Birleşik Krallık dahil olmak üzere birden fazla ülkedeki hedef kuruluşlara yönelik güvenlik açığı.

Mayıs 2021'den sonra araştırmacılar, daha önce bahsedilen ülkelerin yanı sıra Endonezya, Özbekistan ve Kırgızistan merkezli askeri ve hükümet kuruluşlarını hedef alan aynı grupla bağlantılı özellikleri gözlemledi. Üçüncü dalgada saldırı yüzeyi masaüstü sistemleri kapsayacak şekilde genişletilirken, daha önce kapsam yalnızca Microsoft Exchange Sunucuları ile sınırlıydı.

Saldırı Sırası

Saldırı dizisi, düşürücünün bileşenleri çalıştırıp yüklemesine ve birden fazla kayıt defteri anahtarı oluşturmasına olanak tanıyan China Chopper web kabuğu saldırı dizisinin konuşlandırılmasından sonra başlatılıyor.

Önceki adımdaki kayıt değişikliği, "svchost"u kötü amaçlı bir "iiswmi.dll" kütüphanesini yüklemeye zorlar ve bir ".Net yükleyicinin" Samurai arka kapısını çalıştırıp açtığı üçüncü aşamayı çağırmak için eylemini gerçekleştirir.

Araştırmacılara göre, Samuray arka kapısının tersine mühendislik süreci sırasında tespit edilmesi zordur çünkü "komutlar arasında geçiş yaparak kontrol akışını düzleştirir" ve gizleme teknikleri kullanır.

Belirli durumlarda, birden fazla operatörün aynı makinede eş zamanlı olarak çalışmasını koordine etmek ve işbirliği yapmak amacıyla gelişmiş Ninja aracı Samurai tarafından uygulandı. Araştırmacılar, Ninja'nın bir saldırganın "uzaktaki sistemleri kontrol etmesine, tespit edilmesini engellemesine ve hedeflenen ağın derinliklerine sızmasına" olanak tanıyan geniş bir komut seti sağladığını açıkladı.

Ninja, yetenekler ve özellikler açısından Kobalt saldırısı gibi diğer sömürü sonrası araç seti ile benzerlikler paylaşıyor. Araştırmacı, "HTTP başlıklarını ve URL yollarını değiştirerek HTTP göstergelerini kontrol edebildiğini ve meşru görünen HTTP isteklerindeki kötü amaçlı trafiği kamufle edebildiğini" belirtti.

ToddyCat Etkinliği Çin APT'lerine Uzanıyor

Rapora göre Çin merkezli hackerlar aynı zaman dilimi içerisinde ToddyCat APT çetesinin kurbanlarını hedef alıyor. Bu gibi durumlarda araştırmacılar, Çince konuşan bilgisayar korsanlarının FunnyDream adlı bir Exchange arka kapısını kullandığını gözlemledi.

"Bu örtüşme dikkatimizi çekti, çünkü ToddyCat kötü amaçlı yazılım kümesi telemetrimize göre nadiren görülüyor; ve üç farklı ülkede her iki APT'nin de aynı hedefleri uzlaştırdığını gözlemledik. Üstelik tüm vakalarda sahneleme yerleri arasında yakınlık vardı ve bir vakada aynı dizini kullandılar" diye yazdı araştırmacılar.

Güvenlik araştırmacıları, 'hazırlama konumlarındaki ara sıra yakınlığa' rağmen, iki kötü amaçlı yazılım ailesi arasındaki bağlantıyı gösteren herhangi bir somut kanıtın bulunmadığına inanıyor.

Kaspersky, "Çakışmaya rağmen şu anda ToddyCat'i FunnyDream kümesiyle birleştirme konusunda kendimize güvenmiyoruz" diye yazdı. Raporda, "Keşfettiğimiz tüm kurbanların yüksek profilli doğası göz önüne alındığında, bunların birçok APT grubunun ilgisini çekmiş olması muhtemel" ifadesine yer verildi.

Kaspersky, "Hem hükümet hem de askeri olarak etkilenen kuruluşlar, bu grubun çok yüksek profilli hedeflere odaklandığını ve muhtemelen jeopolitik çıkarlarla ilgili kritik hedeflere ulaşmak için kullanıldığını gösteriyor" diye yazdı.