Kaspersky uzmanları, Güney Afrika’daki bir kuruluşa yönelik Çince konuşan APT41 grubuyla bağlantılı bir siber casusluk saldırısı tespit etti.
Saldırıda, kimlik bilgileri, dahili belgeler, kaynak kodu ve iletişimler dahil olmak üzere hassas kurumsal verilerin çalınmaya çalışıldığı belirtildi. Kaspersky, saldırı tekniklerinin APT41 grubuyla yüksek olasılıkla ilişkili olduğunu açıkladı. APT41, telekomünikasyon, eğitim, sağlık, BT, enerji gibi çeşitli sektörlerdeki kuruluşları hedef alan siber casusluk konusunda uzmanlaşmış bir grup olarak biliniyor ve en az 42 ülkede faaliyet gösteriyor.
Kaspersky uzmanlarının analizine göre, saldırganlar internete açık bir web sunucusu aracılığıyla kurumun ağına erişim sağladı. Saldırganlar, kayıt defteri boşaltma yöntemiyle biri tüm iş istasyonlarında yerel yönetici haklarına, diğeri etki alanı yöneticisi ayrıcalıklarına sahip iki ayrı kurumsal etki alanı hesabını ele geçirdi. Bu hesaplar, saldırganların kurum içindeki diğer sistemlere erişmesine olanak sağladı.
Veri toplama amacıyla kullanılan Pillager ve Checkout adlı iki ayrı hırsızlık aracı tespit edildi. Pillager, tarayıcılardan, veritabanlarından ve yönetim araçlarından kaydedilmiş kimlik bilgilerini, proje kaynak kodunu, ekran görüntülerini, aktif sohbet oturumlarını, e-posta yazışmalarını, yüklü yazılım listelerini, işletim sistemi kimlik bilgilerini ve Wi-Fi kimlik bilgilerini toplamayı hedefliyordu. Checkout ise kayıtlı kimlik bilgileri ve tarayıcı geçmişine ek olarak, indirilen dosyalar ve tarayıcıda depolanan kredi kartı verileri hakkında bilgi toplayabiliyordu. Saldırganlar ayrıca RawCopy yardımcı programını ve Mimikatz’ın DLL sürümünü kullanarak kayıt dosyalarını ve kimlik bilgilerini elde etti ve ele geçirilen bilgisayarlarda Cobalt Strike’ı kullanarak Komuta ve Kontrol (C2) iletişimi sağladı.
Kaspersky Managed Detection and Response Lider SOC Analisti Denis Kulik, saldırganların C2 iletişim kanallarından biri olarak kurbanın altyapısındaki SharePoint sunucusunu seçtiğini belirtti. Kulik, SharePoint’in altyapıda zaten mevcut olması ve şüphe uyandırmaması nedeniyle tercih edilmiş olabileceğini ve bunun veri sızdırmak ve güvenliği ihlal edilmiş bilgisayarları kontrol etmek için uygun bir yol sunduğunu ifade etti.
Kaspersky, benzer saldırıları önlemek için kuruluşların güvenlik araçlarını tüm iş istasyonlarında kullanmasını, hizmet ve kullanıcı hesabı ayrıcalıklarını gözden geçirmesini ve Kaspersky Next ürün serisindeki çözümleri kullanmasını tavsiye ediyor.