Blog

Güvenlik Zafiyeti – OilRig Group Steps Up Attacks with New Delivery Documents and New Injector Trojan – Hakkında

Arkadaşlar merhaba,

Birçok sosyal medya üzerinden yayılan ve bazı bilgi kirliliğine yol açan APT saldırısının içeriğinden bahsetmek istiyorum.

İran odaklı bir siber suç örgütü olan OilRig gurubu 2016 – 2017 Ekim tarihleri arasında ülkemizin de içinde bulunduğu bazı orta doğu ülkelerini hedef alan APT saldırıları gerçekleştirmişti ve bazı kurumlardan veri sızdırdıklarını bir liste vasıtasıyla yayınlamışlardı.

2017 tarihinde olan bu saldırıların bugün gündeme gelmesinin en büyük nedeni, Telegram üzerinden APT34 zararlısının kaynak kodu Dookhtegan (@Labdookhtegan, twitter.com/dookhtegan1, instagram.com/labdookhtegan) adlı hacker tarafından sızdırılması ve Telegram üzerinden bu verileri, parolaları paylaşmasıdır.

Gelelim bu saldırının önce basit anlamda nasıl gerçekleştiği ve hangi yollar ile yayıldığının analizine;

OilRig gurubu esasında ISMDoor RAT (Remode Access Trojen) tabanlı ve AV bypass tekniklerini kullanan ISMAgent adında yeni bir backdoor kullanmaya başladı. 

Kuruluşunuza gelen Excel, Word içerikli sahte bir e-postayı açan kullanıcı, excel dokümanı içinde sahte bir uyumluluk kontrolü bildirimi görüyor ve “içeriği etkinleştir” alanına bastığı zaman, zararlı kod içerin Macro çalışıyor.

Yönetim paneli ve zararlı powershell scriptleri içerir. Lütfen test etmek istediğiniz zaman sisteminizden izole bir alanda deneyiniz https://github.com/misterch0c/APT34

Çalışan Macro, kullanıcıya her şey normal izlenimi verebilmek için de sahte birkaç veriyi excel sheet’ine yazıyor fakat arka planda base64 ile encode edilmiş, “zehirli kurbağa olarak adlandırılmakta olduğu ve 2 alandan oluşan

Bir payload yüklüyor.

  • Node.js ile yazılmış bir server yani kontrolü sağlayan panel.
  • Kurban makinada çalışan powershell agent

Burada dikkat çekici nokta, base64 ile encode edilmiş powershell payload çalıştığı zaman myleftheart.com sitesinden konfigürasyon dosyalarını çekiyor, C:\Users\Public\Public altında bazı dosyalar açıyor ve iki diğer payload’ u da buraya atıyor.

Aynı zamanda iki adet görev oluşturuyor, biri yönetici diğeri kullanıcı olarak, bu görevler yüklenen iki powershell scripti dUpdater.ps1 ve hUpdater.ps her on dakikada bir çalıştırıyor.

Şimdi bu iki payload baktığımızda dosya alıp gönderdiğini açıkça görüyoruz. Aynı zamanda fail proxy kullanıyor,

Bu fonksiyon myleftheart.com alan adından bir alt alan adı döndürüyor,

Çıktının “atag1273EC” bu son bölümü rastgele, bu bölüm sonra myleftheart.com ekleniyor ve mağdurun bilgisayarında oluşturulan klasörün ismi oluyor.

Bu örnekler VirusTotal’e yüklendiği zaman iki AV ürünü tarafından fark edildiği gözlemlenmektedir.

Maalesef sunucu taraflı kodda bazı css ve dosyalar eksik olduğu için paneli tam anlamıyla çalıştıramamaktayız.

Bir sonrakinde,

Sızıntının büyük bölümü ASP Webshell, HighShell” ve “HyperShell” ve bunların bazı türleri şeklinde.

HyperShell 30 bin satırdan fazla kod içermektedir. Shell görebilmeniz için doğru şifre ile “dında cookie sahip olmanız lazım ruö.anlayış lütfenntüsünüde paylaşıyor.dim.ası iyi değil gibiıllarca bu şekilde kalır. ezor in p” adında cookie sahip olmanız lazım. Bu işin faili tüm anlamlı şifreleri “Th!sN0tF0rFAN” olarak değiştirmiş.

Aşağıdaki ekranda çıktısında görüldüğü üzere, cookie base64 ile pp olarak ifade ediliyor.

Özet olarak;


Saldırgan bir sisteme oltalama e-postası üzerinden giriyor ve kurbanın bilgisayarından erişim bilgilerini alarak, bu bilgiler vasıtasıyla OWA’ dan oturum açıyor ve o kişi adına kurumdakilere e-posta gönderiyor.  Bu aşamadan sonra kullandığı Shell dosyalarını, dışarı açık Exchange sunucusunun OWA dizinine kopyalıyor ve OWA üzerinden Shell alarak, sistem üzerinden Shell ekran alabiliyor. Unutulmaması gereken konu, bu bir OWA zafiyeti değil, tamamen kullanıcı üzerinden gelen bir saldırı türüdür.

Bu saldırıda sızdırılan diğer dosyada birçok özel anahtar ve kullanıcı hesapları hatta bazı domainler için domain admin hesapları bulunmakta.

Komik bir not, bilgileri sızdırılan hedef kullanıcı grubunun pekte şifre politikaları ile arası iyi değil gibi,

Sızdırılan iki fazladan klasörün “MinionProject” ve “FoxPanel222” olarak adlandırıldığına dikkat edelim. Bunların kullanıcı bilgisayarı/sunucu uygulamaları olduğu tekrar görülüyor.

Saldırgan aynı zamanda diğer iki panelin ekran görüntüsünü de paylaşıyor.

Umarım faydalı bir dokuman olmuştur. Malum güvenlik söz konusu olunca çok hızlı hareket etmeye çalışıyoruz fakat yanlış bilgi vermek yerine doğru bilgi vermeyi tercih ediyoruz. Analiz 19 Nisan cuma günü yazılmış ve ilk olarak BIG4TR (http://big4tr.com) grup şirketlerinden Infinitum IT – müşterilerine iletilmiştir.

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu