Sophos Zero-day Kusuru Çinli Hackerlar Tarafından Arka Kapıyı (BackDoor) Uygulamak İçin Kullanıldı

Çinli bilgisayar korsanları, Güney Asya şirketlerini hedef almak ve bulutta barındırılan web sunucularını ihlal etmek için Sophos güvenlik duvarının sıfır gün kusurundan yararlandı.

Daha önce Volexity, birden fazla Çinli gelişmiş kalıcı tehdit (APT) grubu tarafından ciddi şekilde hedeflenen bir müşteriye karşı sofistike bir saldırı olduğunu fark etti. Bu saldırı, müşterinin güvenlik duvarının güvenliğini aşmak için sıfır gün istismarından yararlandı.

Siber güvenlik şirketi Volexity bir raporda, "Saldırgan ilginç bir web kabuğu arka kapısı uyguluyor, ikincil bir kalıcılık biçimi yaratıyor ve nihayetinde müşterinin personeline karşı saldırılar başlatıyor. Bu saldırılar, kuruluşun halka açık web sitelerini barındıran bulutta barındırılan web sunucularını daha da ihlal etmeyi amaçlıyordu."

Bu arada, Sophos bu güvenlik açığını çözdü, ancak saldırganlar kimlik doğrulamasını atlamak ve çeşitli kuruluşlara saldırmak için uzaktan rastgele kod çalıştırmak için güvenlik açığından yararlanmayı başardı.

DriftingCloud

Volexity, Ağ Güvenliği İzleme hizmeti aracılığıyla bir müşterinin Sophos Güvenlik Duvarı'ndan kaynaklanan anormal etkinlikleri tespit etti. Verilerin araştırılması, güvenlik duvarında bir arka kapının tespit edilmesine yol açar. Araştırmacılar, saldırganın ortadaki adam (MITM) saldırıları gerçekleştirmek için güvenlik duvarına erişimi kullandığını söylüyor.

Daha sonra Sophos, (CVE-2022-1040) kapsamındaki güvenlik duvarlarında (CVSS puanı: 9,8) uzaktan kod yürütme (RCE) güvenlik açığını (üçüncü bir tarafça gönderilen) açıklayan bir tavsiye belgesi yayınladı. Volexity, bu saldırıları "DriftingCloud" olarak izlenen Çinli bir APT grubuna bağlıyor.

Kusur için bir yama yayınlandı, "öncelikle Güney Asya bölgesindeki küçük bir dizi belirli kuruluşu hedeflemek" için kötüye kullanıldığını ve etkilenen kuruluşları doğrudan bilgilendirdiğini belirtti.

Saldırı Akışı

Analizde uzmanlar, saldırganın "login.jsp" meşru dosyasına yapılan istekler aracılığıyla yüklü web kabuğuna erişerek trafiğini harmanlamaya çalıştığını gözlemledi.

"Bu, bir arka kapıyla etkileşim yerine kaba kuvvetle giriş girişimi gibi görünebilir. Günlük dosyalarında olağan dışı görünen tek gerçek unsur, yönlendiren değerleri ve yanıt durum kodlarıydı" diyor Volexity.

Araştırmacılar, saldırgan tarafından bu web kabuğunu kullanarak yapılan bazı isteklerin kodunu çözdü ve saldırganın genel kullanıma açık BEHINDER çerçevesini kullandığını belirledi. Bu, şirketin Confluence Servers sistemlerinin son zamanlarda sıfır-gün sömürüsüne dahil olan bir veya daha fazla Çinli APT grubu tarafından kullanıldığına inandığı çerçeveydi (CVE-2022-26134).

Saldırgan Tarafından Gerçekleştirilen Diğer Eylemler

Siber güvenlik firması, tehdit aktörleri tarafından gerçekleştirilen ve aşağıdakileri içeren birkaç başka eylem tanımladı:

• Saldırgan, meşru uzaktan ağ erişimini kolaylaştırmak için güvenlik duvarında VPN kullanıcı hesapları ve ilişkili sertifika çiftleri oluşturdu.
• Saldırgan diske şu yolda bir dosya yazıp yürütmüştür: /conf/certificate/pre_install.sh
• "pre_install.sh" dosyası, ikili dosyayı indirmek, yürütmek ve ardından diskten silmek için kötü amaçlı bir komut çalıştırır.

Ayrıca Volexity, saldırganın kurban kuruluşun web sitelerinin CMS (içerik yönetim sistemi) yönetici sayfalarına, ele geçirdiği geçerli oturum çerezleriyle erişebildiğini belirledi. Araştırmacılar, bu oturum çerezlerini kullanarak, saldırganın bir kullanıcı adı ve şifre göndermeden WordPress yönetici paneline doğrudan erişebildiğini söylüyor.

Yama Mevcut

Bu nedenle Sophos, otomatik olarak ele alınan yamaların (CVE-2022-1040) yanı sıra güvenlik duvarını kullanan kuruluşların bu güvenlik açığından yararlanmaya karşı korunmasına yardımcı olan azaltıcı etkenler sağlamıştır. Volexity, ağ geçidi cihazlarından gelen trafiği algılayan ve günlüğe kaydeden ağ güvenliği izleme mekanizmalarının kullanılmasını önerir. Uzlaşmaları daha kolay araştırmak için denetlenen aracı Unix tabanlı sunucularda uygulayın.

Satıcılar veya çevre cihazları da olası uzlaşmaları incelemek için yöntemler sağlamalıdır. Volexity, bu tür saldırılardan şüpheli etkinlikleri işaretleyebilecek bir dizi YARA kuralı kullanılmasını önerir.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.