6.7 C
İstanbul
13/12/2024
Image default
HaberlerSiber SaldırılarZararlı Yazılım Analizleri

OLDGREMLIN RUSYAYI HEDEF ALDI!

Sağlık Sektörünü Hedef Alan Saldırı

Saldırı, ilk olarak Rusya’da bir sağlık kurumunu hedef almaktadır. Saldırı, mail ile gelmektedir. Mail başlık bilgisi “Bill due” şeklindedir. Mail, Rusya’nın önemli bir medya kuruluşu olan RBC Group tarafından geliyormuş gibi görünmektedir. Kurumdan bir sağlık çalışanı maille gelen zip arşivi dosya ekini indirip açmaktadır. Zip arşivli dosyadan çıkan zararlı dosyası, exe uzantılı bir dosyadır. Çalışan, dosyayı çalıştırmaktadır. Dosyanın arşivden çıkarılmasının ardından Windows Defender dosyayı silmiştir. Fakat dosya çoktan çalıştırıldığı için zararlı aktif hale gelmiştir.

Bu olaydan 3 hafta sonra çalışan, bilgisayarında “Your files have been encrypted” mesajıyla karşılaşmaktadır. Ransomware yazılımı, dosyaları geri alabilmek için 50.000$ talep ettiğini bildirmektedir.

Saldırının arkasında, yeni bir aktör olan OldGremlin grubunun olduğu GroupIB tarafından paylaşılmıştır. Bu saldırıya ek olarak OldGremlin Grubunun, Rusya’da bankaları, endüstriyel girişim firmalarını, diğer sağlık kurumlarını da hedef aldığı ifade edilmiştir. En az 7 farklı kampanya gerçekleştirdikleri bildirilmiştir.

“Here is your Invoice”

Yapılan incelemede, gelen zararlının “TinyNode” isimli bir arka-kapı yazılımı olduğu ve ikinci bir zararlı indirdiği akabinde çalıştırdığı görülmüştür. Çalışan yazılımla birlikte hacker uzaktan erişimi elde etmiş olmaktadır. Bu sayede hacker, network bağlantıları kurmak, değerli verileri çekmek, kurum ağında yayılmak gibi aksiyonları gerçekleştirebilecek hale gelmektedir. OldGremlin’in aktiviteleri incelendiğinde CobaltStrike Framework yapısını kullandığı görülmüştür.

Kurumun içerisine sızan grup, kurum ağında yatay olarak ilerlemeye başlamaktadır. Domain hesap bilgilerini ele geçirmektedir. Ana domain admin yetkilerinde ikinci bir kullanıcı yaratıp ana domain hesabını bloke hale getirmektedirler.

Saldırının gerçekleşmesi yaklaşık olarak 3 haftaya bulduğu için arada geçen sürede, kuruma ait Backup dosyaları grup tarafından silinmiştir. Bu sebeple Backup’tan geri dönmek olasılıklar dahilinde değildir. Kurum ağında “TinyCryptor” zararlısı iletilebilen tüm bilgisayarları iletilir ve saldırı tamamlanmış olmaktadır.

OldGremlin Kampanyaları

OldGremlin’e ait ilk aktivite Nisan 2020’de tespit edilmiştir. Aktivite COVID19 temalarını kullanarak ilk operasyonunu gerçekleştirmiştir. “TinyPosh” isimli trojanı geliştiren grup, ilk kez bu zararlıyı, ilgili aktivitesinde kullanmıştır. Grubun RBC medya grubunu taklit etmesi gibi ilk aktivitelerinde de farklı kurumları taklit ederek mail gönderimleri yapmıştır. Nisan 2020 başındaki saldırısında “Mikrofinansirovaniye i Razvitiye (SRO MiR)” kurumunu kullanarak sahte COVID19 tavsiyeleri içeren mailler ile zararlı iletimlerini sağlamışlardır. Nisan sonundaki saldırı aktivitesinde ise Novadent firması taklit edilmiştir.

12 Mayıs’taki RBC meyda grubundanmış gibi gönderilen mailler hazırlandı. Kurbanlarla (banka personeli ile) 30 dakika röportaj yapma ifadesi taşıyan mailler toplantı maili gibi tasarlanarak iletildi. Mail başlığı “Nationwide survey of the banking and financial sectors during the coronavirus pandemic” şeklindeydi. Röportaj kapsamında sorulacak sorular için “ploaded the questions to the cloud” şeklinde bir bildirim alan kurban, linke tıklayarak zararlıya erişmektedir.

Her mailde, kullanıcının şüphelenmesinin önüne geçmek adına, mailin Virus koruma programı tarafından kontrol edildiğine dair içerik mailde paylaşılmıştır. Bu sayede alıcı gönül rahatlığıyla linke erişmek isteyecek hale gelmiştir.

Saldırılarda kullanılan TinyPosh truva atı, Cobalt Strike Beacon çalıştırmaktadır. Gerçek C&C adresini gizlemek adına Cloudflare Workers sunucularını kullanmaktadır.

Resim 1’de grubun aktiviteleri ilişkin zaman çizelgesi detayı yer almaktadır. Grubun güncel global olayları takip ederek oltalama teması oluşturduğu göze çarpmaktadır. COVID19, Belarus Krizi gibi olaylar bunlara örnek olarak gösterilebilir. Zararlı için oluşturulmuş MITRE ATT&CK tablosu Tablo1’de ifade edilmiştir.

Resim 1: OldGremlin Saldırılarına ait Zaman Çizelgesi
TaktikTeknikSüreç
Initial AccessPhishing: Spearphishing LinkOldGremlin used spearphishing links to archives with malicious LNK files or SFX-archives.
ExecutionUser Execution: Malicious FileA user must run a malicious file to start code execution.
 Command and Scripting Interpreter: PowerShellOldGremlin used obfuscated PowerShell scripts.
 Command and Scripting Interpreter: JavaScript/JScriptOldGremlin used obfuscated JS-scripts.
PersistenceBoot or Logon Autostart Execution: Registry Run Keys / Startup FolderOldGremlin used Software\Microsoft\Windows\CurrentVersion\Run for TinyPosh and TinyNode persistence.
Defense EvasionSigned Binary Proxy Execution: MshtaOldGremlin used mshta.exe to run obfuscated JS-scripts.
 Signed Binary Proxy Execution: Rundll32OldGremlin used rundll32.exe to open a decoy document.
 Process Injection: Asynchronous Procedure CallOldGremlin injected Cobalt Strike into legitimate processes (e.g., svchost.exe and rundll32.exe) via asynchronous procedure call (APC) queue.
 Obfuscated Files or InformationOldGremlin obfuscated scripts and commands they used during the attack lifecycle.
Credential AccessCredentials from Password Stores: Credentials from Web BrowsersOldGremlin extracted passwords from web-browsers via NirSoft WebBrowserPassView.
 Unsecured Credentials: Credentials In FilesOldGremlin extracted email passwords via NirSoft Mail PassView.
DiscoverySoftware DiscoveryOldGremlin collected information about programs installed on the compromised host.
 Remote System DiscoveryOldGremlin collected information about the hosts in the network to move laterally and deploy TinyCryptor.
Lateral MovementLateral Tool TransferOldGremlin moved laterally with help of Cobalt Strike Beacon.
 Remote Services: Remote Desktop ProtocolOldGremlin used RDP for lateral movement.
 Remote Services: SMB/Windows Admin SharesOldGremlin deployed TinyCryptor with PsExec module of Cobalt Strike.
CollectionScreen CaptureOldGremlin created screenshots from the compromised host.
Command and ControlProxy: Multi-hop ProxyOldGremlin used Tor to communicate with the compromised host.
 Encrypted Channel: Symmetric CryptographyOldGremlin used RC4 to encrypt transmitted data.
ImpactData Encrypted for ImpactOldGremlin encrypted data on computers in the network with help of TinyCryptor ransomware.
Tablo 1: OldGremlin Aktivitelerine ilişkin MITRE ATT&CK Tablosu

IoC Listesi

Aşağıdaki liste ise ilgili aktivitelere ilişkin IoC bilgileri yer almaktadır:

MD5 HASH
  • e47a296bac49284371ac396a053a8488 (VT: 27/58)
  • 2c6a9a38ace198ab62e50ab69920bf42 (VT: 28/58)
  • 306978669ead832f1355468574df1680 (VT: 22/53)
  • 94293275fcc53ad5aca5392f3a5ff87b (VT: 28/60)
  • 1e54c8bc19dab21e4bd9cfb01a4f5aa5 (VT: N/A)
  • fc30e902d1098b7efd85bd2651b2293f (VT: 29/60)
  • e0fe009b0b1ae72ba7a5d2127285d086 (VT: 16/58)
  • f30e4d741018ef81da580ed971048707 (VT: 29/59)
  • ac27db95366f4e7a7cf77f2988e119c2 (VT: 16/60)
  • 30fdbf2335a9565186689c12090ea2cf (VT: 46/69)
  • e1692cc732f52450879a86cb7dcfbccd (VT: 31/60)
IP&Domain Adresleri
  • 136.244.67[.]59
  • 95.179.252[.]217
  • 45.61.138[.]170
  • 5.181.156[.]84
  • rbcholding[.]press
  • broken-poetry-de86.nscimupf.workers[.]dev
  • calm-night-6067.bhrcaoqf.workers[.]dev
  • rough-grass-45e9.poecdjusb.workers[.]dev’
  • ksdkpwprtyvbxdobr0.tyvbxdobr0.workers[.]dev’)
  • ksdkpwpfrtyvbxdobr1.tiyvbxdobr1.workers[.]dev
  • wispy-surf-fabd.bhrcaoqf.workers[.]dev
  • noisy-cell-7d07.poecdjusb.workers[.]dev
  • wispy-fire-1da3.nscimupf.workers[.]dev
  • hello.tyvbxdobr0.workers[.]dev
  • curly-sound-d93e.ygrhxogxiogc.workers[.]dev
  • old-mud-23cb.tkbizulvc.workers[.]dev

Kaynak

Related posts

Hello Kitty Ransomware Analizi

Mustafa Okay Maktav

DeathStalker’dan PowerPepper

Mustafa Okay Maktav

GandCrab’i dağıtan kişi yakalandı!

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası