Tehdit aktörleri, Sarwent adlı, az bilinen bir uzaktan erişim aracını sistemlere bulaştırmak için Amnesty International’a ait Pegasus casus yazılımına ilişkin son durumlardan yararlanmaya çalışıyor.
Kötü amaçlı yazılım, sistemi Pegasus izlerine karşı taramak ve bunları kaldırmak için özel olarak oluşturulmuş ve bir anti-virüs çözümünün parçası gibi görünerek hareket ettiği tespit edildi.
Koyun Kılığındaki Kurt – Sarwent!
Sarwent tabanlı saldırıların yıl başından bu yana kadar sürdüğü ve birçok ülkedeki mağdur profillerini hedef aldığı biliniyor.
Geçmiş kampanyalarda kullanılan yöntemler şu anda net değil, Ancak Cisco Talos araştırmacıları, yakın zamanda Sarwent’in Anti-Pegasus AV reklamı yapan sahte bir uluslararası af örgütü web sitesi aracılığıyla iletildiği yeni bir saldırı tespit etti.
Tehdit aktörü, uygun bir GUI oluşturarak kötü amaçlı yazılımın meşru bir anti-virüs gibi görünmesini sağlamaya çalıştığı görüldü.
Bu yöntem, aktörün Pegasus casus yazılımının cihazlarına bulaşmasından endişe duyan kullanıcıları kandırmaya çalıştığını net bir şekilde gösteriyor.
Tehdit aktörünün kullanıcıları sahte web sitesine nasıl eriştirdiği, hangi yöntemleri kullandığı belli değil, ancak bu kampanyadaki alan adlarının bir analizi sonucunda – büyük ölçekli bir kampanya belirtisi olmamasına rağmen -, alan adlarına dünya çapında erişildiğini gösteriyor.
Araştırmacılar bir raporda, aşağıdaki görselde yer alan dağılımı aşağıdaki şekilde yorumluyor.
“LookinLooking at the C2 domains’ volume, we can see a much narrower distribution country wise, with an even lower volume. In the case of the C2 active during our investigation, the countries affected are the United Kingdom, the United States, Russia, India, Ukraine, Czec Republic, Romania and Colombia, as can be seen on the screenshot below.
Sarwent Web Panel
Yapılan araştırma sırasında aktif olan bir Sarwent komuta ve kontrol sunucusunun yönetim panelinden alınan verilere göre, kötü amaçlı yazılım çoğunlukla Birleşik Krallık içerisindeki kullanıcılara ulaştığı görülüyor.
Araştırmacılar, son Sarwent saldırılarından Rusça konuşan bir kişinin sorumlu olduğu konusunda güvenilir değerlendirmeler yapıyor. Ayrıca 2014’den beri kullanılan benzer bir arka kapı bulduklarını, bu durumun, kötü amaçlı yazılımın başlangıçta düşünülenden daha eski olduğunu veya farklı bir aktör tarafından daha önce kullanıldığına dair şüpheleri ortaya çıkartıyor.
Sarwent Delphi dili kullanılarak yazılmış olmasından dolayı bu durum çok sık rastlanılmayan bir durum olarak değerlendiriliyor. Bu zararlı yazılım, tipik olarak bir uzak erişim aracında (RAT) görülen işlevlere sahip ve operatörüne enfekte makineye erişim olanağı sunmaktadır.
RDP veya VNC aracılığı ile makineye doğrudan erişim sağlayabilmektedir. Ancak, shell ve powershell çalıştırma yetenekleri aracılığı ile başka yöntemler de mevcuttur.
Cisco Talos araştırmacıları, Sarwent’i bir anti-virüs çözümüne dönüştüren grafik ara yüzünün, saldırının arkasındaki tehdit aktörünün kötü amaçlı yazılımın kaynak koduna erişimi olduğunu gösterdiğine inanıyor. Araştırmacılar durumu aşağıdaki cümle ile destekliyor.
“This level of familiarity also supports our earlier finding that the actor had been using the Sarwent malware since as early as 2014. This access is especially interesting given that we were unable to find anyone selling access or builders for this malware
Sarwent’in operatörü, Amnesty International’a ait web sitesi için sahte kopyalar oluşturmanın yanı sıra, örgütün kimliğine bürünebilmek adına aşağıdaki alan adlarını da kaydettirdi:
amnestyinternationalantipegasus[.]com
amnestyvspegasus[.]com
antipegasusamnesty[.]com
Sonuç
Araştırmacılar, elde edilen kanıtlara dayanarak Sarwent tehdit aktörünü kategorize edemediklerini, kolay para arayan birisi gibi göründüğünü dile getiriyor. Bununla birlikte, bulguların bir kısmı, finansal motivasyonu olmayan daha gelişmiş bir tehdit aktörüne işaret ediyor gibi gözüktüğünü de belirtiyorlar. Bu teoriyi destekleyen ipuçları arasında kurban sayısının azlığı ve kampanyadaki kişiselleştirme düzeyi yer alıyor.
IOC
Hostname/Domain
amnestyinternationalantipegasus[.]com
medicalsystemworld[.]site
alwaysstriveandprosper[.]space
amnestyvspegasus[.]com
antipegasusamnesty[.]com
mementomoriforlife[.]ru
IP
87[.]249[.]53[.]124
185[.]215[.]113[.]67
194[.]9[.]71[.]129
Hash
59a447749878aec9ed0a9a71332b8a3d50eafee21de446b70a370786d548ee05
5df8a6f08f0eeb1b05f949328674444778c4c078f03e35c0efff268c58dc6396