Sağlık Sektörünü Hedef Alan Saldırı
Saldırı, ilk olarak Rusya’da bir sağlık kurumunu hedef almaktadır. Saldırı, mail ile gelmektedir. Mail başlık bilgisi “Bill due” şeklindedir. Mail, Rusya’nın önemli bir medya kuruluşu olan RBC Group tarafından geliyormuş gibi görünmektedir. Kurumdan bir sağlık çalışanı maille gelen zip arşivi dosya ekini indirip açmaktadır. Zip arşivli dosyadan çıkan zararlı dosyası, exe uzantılı bir dosyadır. Çalışan, dosyayı çalıştırmaktadır. Dosyanın arşivden çıkarılmasının ardından Windows Defender dosyayı silmiştir. Fakat dosya çoktan çalıştırıldığı için zararlı aktif hale gelmiştir.
Bu olaydan 3 hafta sonra çalışan, bilgisayarında “Your files have been encrypted” mesajıyla karşılaşmaktadır. Ransomware yazılımı, dosyaları geri alabilmek için 50.000$ talep ettiğini bildirmektedir.
Saldırının arkasında, yeni bir aktör olan OldGremlin grubunun olduğu GroupIB tarafından paylaşılmıştır. Bu saldırıya ek olarak OldGremlin Grubunun, Rusya’da bankaları, endüstriyel girişim firmalarını, diğer sağlık kurumlarını da hedef aldığı ifade edilmiştir. En az 7 farklı kampanya gerçekleştirdikleri bildirilmiştir.
“Here is your Invoice”
Yapılan incelemede, gelen zararlının “TinyNode” isimli bir arka-kapı yazılımı olduğu ve ikinci bir zararlı indirdiği akabinde çalıştırdığı görülmüştür. Çalışan yazılımla birlikte hacker uzaktan erişimi elde etmiş olmaktadır. Bu sayede hacker, network bağlantıları kurmak, değerli verileri çekmek, kurum ağında yayılmak gibi aksiyonları gerçekleştirebilecek hale gelmektedir. OldGremlin’in aktiviteleri incelendiğinde CobaltStrike Framework yapısını kullandığı görülmüştür.
Kurumun içerisine sızan grup, kurum ağında yatay olarak ilerlemeye başlamaktadır. Domain hesap bilgilerini ele geçirmektedir. Ana domain admin yetkilerinde ikinci bir kullanıcı yaratıp ana domain hesabını bloke hale getirmektedirler.
Saldırının gerçekleşmesi yaklaşık olarak 3 haftaya bulduğu için arada geçen sürede, kuruma ait Backup dosyaları grup tarafından silinmiştir. Bu sebeple Backup’tan geri dönmek olasılıklar dahilinde değildir. Kurum ağında “TinyCryptor” zararlısı iletilebilen tüm bilgisayarları iletilir ve saldırı tamamlanmış olmaktadır.
OldGremlin Kampanyaları
OldGremlin’e ait ilk aktivite Nisan 2020’de tespit edilmiştir. Aktivite COVID19 temalarını kullanarak ilk operasyonunu gerçekleştirmiştir. “TinyPosh” isimli trojanı geliştiren grup, ilk kez bu zararlıyı, ilgili aktivitesinde kullanmıştır. Grubun RBC medya grubunu taklit etmesi gibi ilk aktivitelerinde de farklı kurumları taklit ederek mail gönderimleri yapmıştır. Nisan 2020 başındaki saldırısında “Mikrofinansirovaniye i Razvitiye (SRO MiR)” kurumunu kullanarak sahte COVID19 tavsiyeleri içeren mailler ile zararlı iletimlerini sağlamışlardır. Nisan sonundaki saldırı aktivitesinde ise Novadent firması taklit edilmiştir.
12 Mayıs’taki RBC meyda grubundanmış gibi gönderilen mailler hazırlandı. Kurbanlarla (banka personeli ile) 30 dakika röportaj yapma ifadesi taşıyan mailler toplantı maili gibi tasarlanarak iletildi. Mail başlığı “Nationwide survey of the banking and financial sectors during the coronavirus pandemic” şeklindeydi. Röportaj kapsamında sorulacak sorular için “ploaded the questions to the cloud” şeklinde bir bildirim alan kurban, linke tıklayarak zararlıya erişmektedir.
Her mailde, kullanıcının şüphelenmesinin önüne geçmek adına, mailin Virus koruma programı tarafından kontrol edildiğine dair içerik mailde paylaşılmıştır. Bu sayede alıcı gönül rahatlığıyla linke erişmek isteyecek hale gelmiştir.
Saldırılarda kullanılan TinyPosh truva atı, Cobalt Strike Beacon çalıştırmaktadır. Gerçek C&C adresini gizlemek adına Cloudflare Workers sunucularını kullanmaktadır.
Resim 1’de grubun aktiviteleri ilişkin zaman çizelgesi detayı yer almaktadır. Grubun güncel global olayları takip ederek oltalama teması oluşturduğu göze çarpmaktadır. COVID19, Belarus Krizi gibi olaylar bunlara örnek olarak gösterilebilir. Zararlı için oluşturulmuş MITRE ATT&CK tablosu Tablo1’de ifade edilmiştir.
Taktik | Teknik | Süreç |
---|---|---|
Initial Access | Phishing: Spearphishing Link | OldGremlin used spearphishing links to archives with malicious LNK files or SFX-archives. |
Execution | User Execution: Malicious File | A user must run a malicious file to start code execution. |
Command and Scripting Interpreter: PowerShell | OldGremlin used obfuscated PowerShell scripts. | |
Command and Scripting Interpreter: JavaScript/JScript | OldGremlin used obfuscated JS-scripts. | |
Persistence | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | OldGremlin used Software\Microsoft\Windows\CurrentVersion\Run for TinyPosh and TinyNode persistence. |
Defense Evasion | Signed Binary Proxy Execution: Mshta | OldGremlin used mshta.exe to run obfuscated JS-scripts. |
Signed Binary Proxy Execution: Rundll32 | OldGremlin used rundll32.exe to open a decoy document. | |
Process Injection: Asynchronous Procedure Call | OldGremlin injected Cobalt Strike into legitimate processes (e.g., svchost.exe and rundll32.exe) via asynchronous procedure call (APC) queue. | |
Obfuscated Files or Information | OldGremlin obfuscated scripts and commands they used during the attack lifecycle. | |
Credential Access | Credentials from Password Stores: Credentials from Web Browsers | OldGremlin extracted passwords from web-browsers via NirSoft WebBrowserPassView. |
Unsecured Credentials: Credentials In Files | OldGremlin extracted email passwords via NirSoft Mail PassView. | |
Discovery | Software Discovery | OldGremlin collected information about programs installed on the compromised host. |
Remote System Discovery | OldGremlin collected information about the hosts in the network to move laterally and deploy TinyCryptor. | |
Lateral Movement | Lateral Tool Transfer | OldGremlin moved laterally with help of Cobalt Strike Beacon. |
Remote Services: Remote Desktop Protocol | OldGremlin used RDP for lateral movement. | |
Remote Services: SMB/Windows Admin Shares | OldGremlin deployed TinyCryptor with PsExec module of Cobalt Strike. | |
Collection | Screen Capture | OldGremlin created screenshots from the compromised host. |
Command and Control | Proxy: Multi-hop Proxy | OldGremlin used Tor to communicate with the compromised host. |
Encrypted Channel: Symmetric Cryptography | OldGremlin used RC4 to encrypt transmitted data. | |
Impact | Data Encrypted for Impact | OldGremlin encrypted data on computers in the network with help of TinyCryptor ransomware. |
IoC Listesi
Aşağıdaki liste ise ilgili aktivitelere ilişkin IoC bilgileri yer almaktadır:
MD5 HASH
- e47a296bac49284371ac396a053a8488 (VT: 27/58)
- 2c6a9a38ace198ab62e50ab69920bf42 (VT: 28/58)
- 306978669ead832f1355468574df1680 (VT: 22/53)
- 94293275fcc53ad5aca5392f3a5ff87b (VT: 28/60)
- 1e54c8bc19dab21e4bd9cfb01a4f5aa5 (VT: N/A)
- fc30e902d1098b7efd85bd2651b2293f (VT: 29/60)
- e0fe009b0b1ae72ba7a5d2127285d086 (VT: 16/58)
- f30e4d741018ef81da580ed971048707 (VT: 29/59)
- ac27db95366f4e7a7cf77f2988e119c2 (VT: 16/60)
- 30fdbf2335a9565186689c12090ea2cf (VT: 46/69)
- e1692cc732f52450879a86cb7dcfbccd (VT: 31/60)
IP&Domain Adresleri
- 136.244.67[.]59
- 95.179.252[.]217
- 45.61.138[.]170
- 5.181.156[.]84
- rbcholding[.]press
- broken-poetry-de86.nscimupf.workers[.]dev
- calm-night-6067.bhrcaoqf.workers[.]dev
- rough-grass-45e9.poecdjusb.workers[.]dev’
- ksdkpwprtyvbxdobr0.tyvbxdobr0.workers[.]dev’)
- ksdkpwpfrtyvbxdobr1.tiyvbxdobr1.workers[.]dev
- wispy-surf-fabd.bhrcaoqf.workers[.]dev
- noisy-cell-7d07.poecdjusb.workers[.]dev
- wispy-fire-1da3.nscimupf.workers[.]dev
- hello.tyvbxdobr0.workers[.]dev
- curly-sound-d93e.ygrhxogxiogc.workers[.]dev
- old-mud-23cb.tkbizulvc.workers[.]dev