FBI ve CISA yaptığı açıklamada, İranlı APT gruplarının kripto para mandenciği yapmak için Federal Civilian Executive Branch (FCEB) ağına eriştiklerini açıkladı. Saldırganların XMRig kripto zararlısını dağıtmak için Log4Shell RCE zafiyetinden (CVE-2021-44228) yararlandıkları ortaya çıktı.
İranlı Apt grubunun VMware Horizon üzerindeki zafiyetleri kullanarak Federal Ağa eriştikleri ve orada kalıcı oldukları belirlendi.
Log4Shell zafiyetinden yararlandılar
Saldırganlar, Log4Shell güvenlik açığından yararlanarak XMRig kripto aracını kurdular ve ardından aşağıdaki işlemleri gerçekleştirler:
- Domain Controller’lara eriştiler.
- Kimlik bilgilerini ele geçirdiler.
- Ngrok reverse proxy’i yüklediler.
VMware sunucusuna, aşağıdaki IP adresinden HTTPS aracılığıyla erişildi:
- 51.89.181[.]64
Teknik Analiz
- İlk olarak güvenlik yamaları yüklenmemiş zafiyet barındıran VMware Horizon sunucularına erişim yapıldı.
- İkinici olarak 182.54.217[.]2 üzerinden zararlı dosyalar yüklendi.
- Aşağıdaki powershell komutu çalıştırılarak Windows Defender’a exclusion eklendi. Böylece playload’lar kolayca yüklenebildi.
powershell try{Add-MpPreference -ExclusionPath ‘C:\’; Write-Host ‘added-exclusion’} catch {Write-Host ‘adding-exclusion-failed’ }; powershell -enc “$BASE64 encoded payload to download next stage and execute it”- Aşağıdaki zip dosyaları indirildi ve arşivden çıkarıldı.
WinRing0x64.sys
wuacltservice.exe
config.json
RuntimeBroker.exe- Saldırganlar tarafından indirilen diğer dosyalar ise aşağıdaki gibi;
PsExec: A Microsoft signed tool for system administrators.
Mimikatz: A credential theft tool.
Ngrok: A reverse proxy tool for proxying an internal service out onto a Ngrok domain.- Mimikatz’dan toplanan kimlik bilgilerine göre sahte domain admin hesabı oluşturuldu. Yeni oluşturulan hesaplar RDP erişimleri için kullanıldı.
- Saldırganlar tarafından kullanılan alan adları aşağıdaki gibi:
tunnel.us.ngrok[.]com
korgn.su.lennut[.]com
*.ngrok[.]com
*.ngrok[.]io
ngrok.*.tunnel[.]com
korgn.*.lennut[.]com- Active Directory erişimleri için aşağıdaki powershell komutu kullanıldı.
Powershell.exe get-adcomputer -filter * -properties * | select name,operatingsystem,ipv4address >Kullanılan taktik ve teknikler
- Initial Access – Exploit Public – Facing Application – Actors exploited the Log4Shell bug on the VMware Horizon server
- Execution – PowerShell, a Command and Scripting Interpreter – actors executed PowerShell on the AD to obtain a list of machines on the domain.
- Persistence – Account Manipulation, Create Account: Local Account, Create Account: Domain Account, Scheduled Task/Job: Scheduled Task.
- Evasion Detection – Impair Defenses: Disable or Modify Tools, Indicator Removal on Host: File Deletion.
- Credential Access – OS Credential Dumping: LSASS Memory, Credentials from Password Stores.
- Discovery – Remote System Discovery – PowerShell command on the AD to obtain a list of all machines.
- Lateral Movement – Remote Services: Remote Desktop Protocol to gain access to multiple hosts on the network.
- Command and Control – Ngrok to proxy RDP connections and to perform command and control.
- Ingress Tool Transfer – downloaded malware and multiple tools to the network, including PsExec, Mimikatz, and Ngrok.
Kaynak: gbhackers.com
