APT ‘Aquatic Panda’ Log4Shell Exploit Araçları ile Üniversiteleri Hedefliyor
CrowdStrike araştırmacıları, tehdit grubunun bir akademik kurumdan endüstriyel istihbarat ve askeri sırları çalma girişimini engelledi.
Aquatic Panda takma adıyla anılan siber suçlular, Log4Shell güvenlik açığından yararlanan en son gelişmiş kalıcı tehdit grubudur (APT) .
Çarşamba günü yayınlanan araştırmaya göre, CrowdStrike Falcon OverWatch araştırmacıları, kısa süre önce, açıklanmayan büyük bir akademik kurumu içeren bir saldırı sırasında savunmasız bir VMware kurulumunda Log4Shell istismar araçlarını kullanan tehdit aktörlerini bozdu.
CrowdStrike raporunun yazarı Benjamin Wiley, “Aquatic Panda, istihbarat toplama ve endüstriyel casusluktan oluşan ikili bir misyona sahip Çin merkezli bir [APT]” dedi. Wiley, araştırmacıların hedefin altyapısına bağlı şüpheli etkinliği ortaya çıkardığını söyledi. "Bu, OverWatch'in rutin işlemler sırasında VMware Horizon Tomcat web sunucusu hizmetiyle ilişkili olağandışı alt süreçleri aramasına neden oldu" diye yazdı.
Araştırmacılar, OverWatch'in etkinliğin organizasyonunu hızlı bir şekilde bilgilendirdiğini ve böylece hedefin "olay müdahale protokollerine başlayabileceğini" söyledi.
Diğer güvenlik firmalarının yanı sıra CrowdStrike, Aralık ayı başlarında Apache Log4j günlük kitaplığında bulunan ve hemen saldırganlar tarafından kurulan , CVE-2021-44228 olarak izlenen ve halk arasında Log4Shell olarak bilinen bir güvenlik açığı etrafındaki şüpheli etkinliği izliyor.
İlgili Yazılar:
- Log4j Keşfi İçin 4 Pratik Strateji
- NVIDIA ve HPE Ürünleri Log4j Güvenlik Açıklarından Etkilendi
- Five Eyes Nations, Log4j Güvenlik Açıklarına İlişkin Ortak Kılavuz Yayınladı
Sürekli Genişleyen Saldırı Yüzeyi
Microsoft, Apple, Twitter, CloudFlare ve diğerlerinden birçok yaygın altyapı ürünü, yaygın kullanımı nedeniyle Log4Shell saldırılarına karşı savunmasızdır. Son zamanlarda, VMware de kılavuz yayınlamıştır Kendi süreçleri seyretmek listesine VMware Horizon Tomcat web sunucusu hizmeti eklemek için Overwatch, onun Horizon hizmetin bazı bileşenleri Log4J'ye karşı savunmasız olduklarını söyledi.
Falcon OverWatch ekibi, tehdit aktörü VMware Horizon örneğinde çalışan Apache Tomcat hizmeti altında yürütülen dns[.]1433[.]eu[.]org altındaki bir alt etki alanı için DNS aramaları aracılığıyla birden çok bağlantı kontrolü gerçekleştirdiğinde Aquatic Panda'nın izinsiz girişini fark etti.
Araştırmacılar, “Tehdit aktörü daha sonra, sabit kodlanmış bir IP adresiyle bash tabanlı etkileşimli bir kabuk yürütmeye çalışmak ve ayrıca uzak altyapıda barındırılan tehdit aktör araçlarını almak için curl ve wget komutları da dahil olmak üzere bir dizi Linux komutu yürüttü” dedi.
Araştırmacılar, komutların Apache Tomcat hizmeti altındaki bir Windows ana bilgisayarında yürütüldüğünü söyledi. İlk aktiviteyi öncelik sırasına koydular ve hemen kurban kuruluşa kritik bir tespit gönderdiler, daha sonra ek ayrıntıları doğrudan güvenlik ekipleriyle paylaştılar.
Sonunda araştırmacılar, Log4j istismarının değiştirilmiş bir versiyonunun muhtemelen tehdit aktörünün operasyonları sırasında kullanıldığını ve saldırıda kullanılan altyapının Aquatic Panda ile bağlantılı olduğunu değerlendirdiler.
Saldırıyı İzleme
OverWatch araştırmacıları, güvenlik yöneticileri saldırıyı azaltmak için çabalarken, akademik kuruma sürekli güncellemeler sağlamak için izinsiz giriş sırasında tehdit aktörünün faaliyetlerini yakından izlediler.
Aquatic Panda, mevcut ayrıcalık düzeylerinin yanı sıra sistem ve etki alanı ayrıntılarını anlamak için yerel işletim sistemi ikili dosyalarını kullanarak ana bilgisayardan keşif yaptı. Araştırmacılar ayrıca grubun üçüncü taraf bir uç nokta algılama ve yanıt (EDR) hizmetini keşfetmeye ve durdurmaya çalıştığını da gözlemlediler.
Tehdit aktörleri ek komut dosyaları indirdi ve ardından araç setlerinden kötü amaçlı yazılımları almak için PowerShell aracılığıyla Base64 kodlu bir komut yürüttü. Ayrıca, uzak altyapıdan VBS dosya uzantılı üç dosya aldılar ve daha sonra kodu çözdüler.
Araştırmacılar, "Mevcut telemetriye dayanarak, OverWatch bu dosyaların muhtemelen DLL arama sırası ele geçirme yoluyla belleğe yüklenen bir ters kabuk oluşturduğuna inanıyor" diye yazdı.
Sucul Panda sonunda, LSASS işleminin belleğini karada yaşayan ikili dosyaları rdrleakdiag.exe ve createump.exe'nin yeniden adlandırılmış bir kopyası olan cdump.exe'yi kullanarak boşaltarak kimlik bilgilerini toplamak için birden çok girişimde bulundu.
Araştırmacılar, "Tehdit aktörü, ProgramData ve Windows\temp\ dizinlerinden tüm yürütülebilir dosyaları silerek izlerini kapatmaya çalışmadan önce, sızıntıya hazırlık amacıyla bellek dökümünü sıkıştırmak için winRAR'ı kullandı" diye yazdı.
Araştırmacılar, kurban organizasyonun sonunda, Aquatic Panda'nın ev sahibi üzerinde daha fazla eylemde bulunmasını engelleyen ve saldırıyı durduran savunmasız uygulamayı yamaladığını söyledi.
Yeni Yıl, Aynı Sömürü
2021 sona ererken, Log4Shell ve saldırganların onu kötü niyetli faaliyetler için kullanabilmesi için geliştirilen istismarlar, bozulmalarını yeni yıla taşıyacaktır.
OverWatch araştırmacıları, "Log4j ile ilgili küresel tartışmalar yoğun geçti ve birçok kuruluşu öne çıkardı" dedi. "Hiçbir kuruluş, ağlarını etkileyen böylesine potansiyel olarak yıkıcı bir güvenlik açığını duymak istemez."
Gerçekten de kusur, bu ayın başlarında keşfedildiğinden beri hem kuruluşlar hem de güvenlik araştırmacıları için önemli bir baş ağrısı yarattı. Saldırganlar hemen Log4Shell'e atladı ve ilk ortaya çıktığı 24 saatlik bir süre içinde kusur için yaratılan orijinal istismarın 60 varyantını ortaya çıkardı. Apache yama yapmak için hızla harekete geçse de, düzeltme de sorunlu hale geldi ve kendi başına bir güvenlik açığı yarattı.
Ayrıca Aquatic Panda, Log4Shell'den yararlanma fırsatını tanıyan ilk organize siber suç grubu değil ve muhtemelen son da olmayacak. 20 Aralık'ta, gelişmişliği ve acımasızlığıyla tanınan Rusya merkezli Conti fidye yazılımı çetesi , bütünsel bir saldırı zinciri oluşturarak Log4Shell güvenlik açığını benimseyen ve silahlandıran ilk profesyonel suç yazılımı ekibi oldu.
CrowdStrike, kuruluşları, durum geliştikçe Log4Shell ve genel Log4j güvenlik açıkları için mevcut olan en son azaltmalardan haberdar olmaya çağırdı.
Kaynak: https://threatpost.com/aquatic-panda-log4shell-exploit-tools/177312/
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.