hedefli saldırılar
Siber suçluların kullandıkları araçlar sürekli olarak gelişmeye devam ediyor. En son örnek, uzmanlarımızın kısa bir süre önce ortaya çıkardığı kötü amaçlı MATA sistemi. Siber suçlular bu sistemi dünyanın dört bir yanındaki kurumsal altyapılara saldırmak için kullanıyor. MATA, çeşitli işletim sistemleri altında çalışabiliyor ve çok geniş bir kötü amaçlı araç yelpazesine sahip.
Kötü amaçlı kişiler MATA’yı potansiyel olarak çok çeşitli suçlar için kullanabilirler. Ancak bizim analiz ettiğimiz vakalarda siber suçlular, kurbanın altyapısındaki müşteri veri tabanlarını bulup buradan veri çalmaya çalışıyordu. En az bir vakada MATA’yı fidye yazılımı yaymak için de kullanmışlar. Uzmanlarımız bu vakayı ayrıca inceleyecekler.
Saldırganların ilgi alanı oldukça geniş. MATA’nın bilinen kurbanları arasında yazılım geliştiriciler, internet sağlayıcılar, e-ticaret siteleri ve daha fazlası yer alıyor. Saldırı coğrafyası da oldukça geniş: Grubun Polonya, Almanya, Türkiye, Kore, Japonya ve Hindistan’daki etkinliklerine dair izler bulduk.
Neden MATA’ya bir sistem diyoruz?
MATA yalnızca özellikler açısından zengin bir kötü amaçlı yazılım değil. Gereken araçları gerektiği zaman yükleyen bir tür oluşturucu. MATA’nın en popüler üç işletim sistemi olan Windows, Linux ve macOS çalıştıran bilgisayarlara saldırabilmesi ile başlayalım.
Windows
Uzmanlarımız ilk olarak Windows cihazları hedef alan MATA saldırılarını tespit etti. Saldırılar birkaç aşamada gerçekleşiyordu. MATA operatörleri başlangıçta kurbanın bilgisayarında düzenleyici modül denen bir yükleyici çalıştırıyor. Bu modül, çok çeşitli kötü amaçlı işlevlere sahip başka modüller indirebiliyor.
Belirli saldırı senaryolarının karakteristik özelliklerine bağlı olarak modüller, uzak bir HTTP veya HTTPS sunucusundan veya sabit diskteki şifreli bir dosyadan yüklenebiliyor ya da TLS 1.2 bağlantısı üzerinden MataNet altyapısından aktarılabiliyor. Çeşitli MATA eklentileri:
- İlave parametrelerle cmd.exe /c veya powershell.exe çalıştırabiliyor ve bu komutlara verilen yanıtları toplayabiliyor;
- (Kaldır, oluştur, vb. gibi) işlemleri manipüle edebiliyor;
- Belirli bir adresle (ya da bir dizi adresle) TCP bağlantısı arayabiliyor;
- Gelen TCP bağlantıları için hazır olan bir HTTP ara sunucusu oluşturabiliyor;
- Dosyaları manipüle edebiliyor (veri yazabiliyor, gönderebiliyor, içerik silebiliyor, vb.);
- Yürütülen işlemlere DLL dosyaları enjekte edebiliyor;
- Uzak sunuculara bağlanabiliyor.
Linux ve macOS
Uzmanlarımız araştırmalarını ilerlettiklerinde Linux’e yönelik de benzer bir araç seti buldu. Düzenleyicinin ve eklentilerin Linux sürümlerinin yanı sıra, yasal bir uygulama olan komut satırı yardımcı programı Socat‘i ve Atlassian Confluence Sunucusu’ndaki CVE-2019-3396 güvenlik açığını kötüye kullanan komut dizinleri içeriyordu.
Eklenti seti, Windows’ta görülenden biraz farklı. Eklentiler arasında, MATA’nın (RouterOS çalıştıran cihazları yönetmek için kullanılan) 8291 bağlantı noktasını ve (Bloomberg Professional yazılımında kullanılan) 8292 bağlantı noktasını kullanarak bir TCP bağlantısı kurmaya çalıştığı ekstra bir eklenti daha yer alıyordu. Bağlantı kurma girişimi başarılı olursa eklenti, sistem günlüğünü C&C (komut ve kontrol) sunucusuna aktarıyordu. Bunun yeni hedefler belirlemeye yaradığını varsayıyoruz.
MacOS araçlarına gelirsek, açık kaynaklı bir yazılımı temel alan Truva Atı haline getirilmiş bir uygulamada bulundular. MacOS sürümü, işlevsellik açısından Linux işletim sisteminin neredeyse aynısıydı.
Securelist’deki ilgili gönderide sistemin ayrıntılı teknik açıklamasını ve risk göstergelerini bulabilirsiniz.
Kendinizi nasıl koruyabilirsiniz?
Uzmanlarımız MATA ile Lazarus APT arasında bir bağlantı olduğunu ve bu sistemle gerçekleştirilen saldırıların kesinlikle hedefli olduğunu söylüyor. Araştırmacılar, MATA’nın gelişmeye devam edeceğinden emin. Bu yüzden, küçük şirketlerin bile yalnızca kitlesel tehditlere karşı değil, aynı zamanda daha karmaşık tehditlere karşı da koruma sağlayan ileri teknolojiler kullanmayı düşünmesini öneriyoruz. Buna yönelik olarak, Endpoint Protection Platform (EPP) ve Endpoint Detection and Response (EDR) özelliklerini ekstra araçlarla birleştiren entegre bir çözüm sunuyoruz. İnternet sitemizden daha fazla bilgi edinebilirsiniz.
