ABD, Avrupa Birliği ve Latin Amerika (LATAM) bölgelerinde, ilk erişimi elde etmek için devam eden finansal amaçlı bir kampanyanın parçası olarak, güvenliği zayıf Microsoft SQL (MS SQL) sunucuları hedef alınıyor.
Securonix araştırmacıları Den Iuzvyk, Tim Peck ve Oleg Kolesnikov, The Hacker News ile paylaştıkları teknik raporda, “İncelenen tehdit kampanyasının iki şekilde sonuçlandığı görülüyor: Ya tehlikeye atılan ana bilgisayara ‘erişim’ satışı ya da fidye yazılımı yüklerinin teslimi.” dedi .
Türk kökenli aktörlerin yer aldığı kampanyaya siber güvenlik firması tarafından RE#TURGENCE kod adı verildi.
Sunuculara ilk erişim, kaba kuvvet saldırıları gerçekleştirmeyi ve ardından ele geçirilen bilgisayarda kabuk komutları çalıştırmak için xp_cmdshell yapılandırma seçeneğini kullanmayı gerektirir. Bu etkinlik , Eylül 2023’te ortaya çıkan DB#JAMMER adlı önceki bir saldırının etkinliğini yansıtmaktadır.
Bu aşama, gizlenmiş bir Cobalt Strike işaret yükünü almakla sorumlu olan uzak bir sunucudan bir PowerShell betiğinin alınmasının yolunu açar.
Sömürü sonrası araç seti daha sonra makineye erişmek ve kimlik bilgilerini toplamak için Mimikatz ve keşif yapmak için Gelişmiş Port Tarayıcı gibi ek araçları indirmek amacıyla bağlanmış bir ağ paylaşımından AnyDesk uzak masaüstü uygulamasını indirmek için kullanılır.
Yanal hareket , uzak Windows ana bilgisayarlarında programları çalıştırabilen PsExec adlı meşru bir sistem yönetimi yardımcı programı aracılığıyla gerçekleştirilir .
Bu saldırı zinciri, en sonunda, bir çeşidi DB#JAMMER kampanyasında da kullanılan Mimic fidye yazılımının konuşlandırılmasıyla doruğa ulaşıyor .
Kolesnikov, The Hacker News’e yaptığı açıklamada, “İki kampanyada kullanılan göstergeler ve kötü amaçlı TTP’ler tamamen farklı, dolayısıyla bunların birbirinden farklı iki kampanya olma ihtimali çok yüksek” dedi.
“Daha spesifik olmak gerekirse, ilk sızma yöntemleri benzer olsa da, DB#JAMMER biraz daha karmaşıktı ve tünelleme kullanıyordu. RE#TURGENCE ise daha hedef odaklıdır ve normal aktiviteye uyum sağlamak için AnyDesk gibi meşru araçlar ve uzaktan izleme ve yönetim yöntemlerini kullanma eğilimindedir.”
Securonix, AnyDesk’in pano paylaşım özelliğinin etkinleştirilmesi nedeniyle panodaki etkinliğin izlenmesine olanak tanıyan tehdit aktörleri tarafından yapılan bir operasyonel güvenlik (OPSEC) hatasını ortaya çıkardığını söyledi .
Bu, onların Türk kökenlerini ve çevrimiçi takma adlarını atseverse’de tespit etmeyi mümkün kıldı; bu aynı zamanda Steam’deki bir profile ve SpyHack adlı bir Türk hack forumuna da karşılık geliyor .
Araştırmacılar, “Kritik sunucuları doğrudan internete açmaktan her zaman kaçının,” diye uyardı. “RE#TURGENCE vakasında saldırganlar, ana ağın dışından sunucuya doğrudan kaba kuvvetle girebildiler.”
