Siber Korsanlar tarafından Türkiye ye yapılan siber saldırı:
Palo Alto networks uzmanları bir siber korsan grubunun, Kasım 2018’de yaptığı ve Türkiye de ki kamu kurumlarını hedef alan bir saldırının ayrıntılarını açıkladı.
Bu saldırı Türkiye de ki kamu kurum ve kuruluşlarına yönelik olup yeni bir Python tabanlı arka kapı kullanılmıştır.
En az 2014'ten beri aktif olan ve çoğunlukla gözetim operasyonlarına ve bireylerin izlenmesine odaklanan hacker grubunun, son birkaç yılda hedef listesini genişlettiği gözlenmiştir.
“MechaFlounder” olarak adlandırılan bu yeni payload, kod geliştirici topluluklarda çevrimiçi olarak serbestçe erişilebilen kod ve kod parçacıklarının erişilebilmelerinden kaynaklı siber korsanlar tarafından kullanılmasına da neden olmaktadır. Yani win10-update [.] Com etki alanını güçlendirmiş ve secondary payload IP adresi 185.177.59 [.] 70 olarak ortaya çıkmasına neden olmuştur.
Bir sisteme bulaştığında, arka kapı bir döngüye girer ve sürekli olarak komut ve kontrol (C&C) sunucusu ile HTTP üzerinden iletişim kurmaya çalışır. C&C kötü niyetli koda bağlantıyı sonlandırması, dosya indirmesi / yüklemesi, C&C işaretçileri arasındaki uyku aralığını ayarlaması, mevcut çalışma dizinini değiştirmesi ve verilen verileri komut satırında komut olarak çalıştırması için talimat verebilir ve ayrıca yürütülen bu komutların sonucunu da rapor eder.
Olayda yayınlanan IP'ler ve alan adları:
win10-update[.]com
185.177.59[.]70
134.119.217[.]87
win7-update[.]com
turkiyeburslari[.]tk
xn--mgbfv9eh74d[.]com (??????[.]com)
ytb[.]services
eseses[.]tk
Zararlı yazılımın adı: microsoft'un servislerinden biri olan lsass.exe process inin arkasında çalışan zararlı bir yazılımdır.
Isass [.] Exe isimli dosya, bir HTTP isteği ile win10-update [.] Com adresinden indirildi.
MechaFlounder adlı payload yükleme ve indirme işlemlerinin yanı sıra komut yürütme işlevselliğini de destekler.
Saldırganlar win10-update [.] Com etki alanını kullandılar ve yeni kötü amaçlı yazılımları
185.177.59 [.] 70 IP adresinden teslim ettiler.
Komuta merkezine yönelik aktiviteleri yaptıktan sonra, Trojan‘ base64.b16encode yöntemini kullanarak komutun sonuçlarını veya çıktı mesajını kodlayacaktır.
Olayda kullanılan araçlar şunlardır:
1-Remcom: Diğer sistemlerde işlemleri yürütmek için kullanılmıştır.
2-Emici Olmayan Servis Yöneticisi (NSSM): Servisleri kurmak ve kaldırmak için kullanılabilen ve çökmeleri durumunda hizmetleri yeniden başlatabilmesi için kullanılmıştır.
3-Özel bir ekran görüntüsü ve panoya yakalama aracı.
4-SMB hack araçları: Hedef ağları geçmek için diğer araçlarla birlikte kullanılır. Bu araçlar EternalBlue istismarını (daha önce WannaCry ve Petya tarafından kullanılmış) içerir.
5-GNU HTTPTunnel: Linux bilgisayarlarda iki yönlü bir HTTP tüneli oluşturabilen ve potansiyel olarak kısıtlayıcı bir güvenlik duvarının ötesinde iletişime izin veren açık kaynaklı bir araçtır.
6-UltraVNC: Microsoft Windows için açık kaynaklı bir uzaktan yönetim aracı.
7-NBTScan: NetBIOS ad bilgisi için IP ağlarını taramak için ücretsiz bir araçtır.
Yapılması gerekenler:
Belirtilen IP adresleri veya alan adlarına kurum bünyesinden erişim olup olmadığının kontrol edilmesi ve erişim olduysa olaya karışan sistemler ağdan yalıtılmalı ve incelenmelidir.
Bu IP adresleri ve alan adları engellenmelidir.
Saldırının ilk vektörü konusunda henüz kesin bir bilgi olmasa da oltalama e-posta saldırılarıyla geldiği düşünüldüğünden dolayı tanımadığınız adreslerden gelen mailler açılmamalıdır.
Kaynaklar
1-https://unit42.paloaltonetworks.com/new-python-based-payload-mechaflounder-used-by-chafer/
2-https://securityaffairs.co/wordpress/82004/breaking-news/chafer-apt-python-backdoor.html
3-https://www.securityweek.com/iran-linked-hackers-use-python-based-backdoor-recent-attacks
4-https://www.silobreaker.com/silobreaker-daily-cyber-digest-5-march-2019/
5-https://www.symantec.com/blogs/threat-intelligence/chafer-latest-attacks-reveal-heightened-ambitions