Giriş
Mandiant, finansal olarak motive edilmiş ve bir hayli aktif olan FIN12 tehdit aktörü hakkında kapsamlı bir rapor yayınlamıştır. Ransomware (fidye-yazılım) tabanlı siber saldırılar gerçekleştiren grup, ağırlıklı olarak sağlık kurumlarını hedef almaktadır. Kapsamlı raporda, operasyonlarının özellikleri, ilk erişimde kullandığı metodlar, TTPs (teknik, taktik, prosedür) ve CobaltStrike Beacon kullanımları hakkında bilgiler paylaşılmıştır.
FIN12 Aktiviteleri ve Rapor Detayları
FIN12’nin operasyonlarının hedef gözetmeksizin gerçekleştirildiğini söylemek yanlış olmayacaktır. Gerçekleştirilen operasyonların %20 kadarı sağlık endüstrisini hedef almaktadır. Bu endüstrinin önemli bir kısmı da sağlık servisi veren kurumlardan oluşmaktadır. Ekim 2020’de ABD tarafından yapılan bir bildirimde sağlık kurumlarını hedef alan ciddi bir siber saldırı tehdinin beklendiği ifade edilmiştir. Bu bildirimin ardından FIN12 aktivitelerinin ortaya çıktığı tespit edilmiştir. FIN12’nin diğer hedef aldığı sektörler ise ticari hizmetler, eğitim, finans, perakende, teknoloji olarak ifade edilmektedir.
FIN12 aktivitelerinin hedef aldığı bölgelere baktığımızda ağırlıklı olarak Kuzey Amerika’daki kurumları hedef aldığı görülmektedir. Fakat geçen zaman içerisinde tehdit grubu, farklı ortaklar ile çalışmasıyla birlikte hedef aldığı alanı genişletmiştir. Hedef alınan ülkeler arasında İspanya, Endonezya, Filipinler, Avustralya, Fransa ve Birleşik Krallık gibi yerler de bulunmaktadır.
FIN12’nin finansal özelliklerini masaya yatırdığımızda yıllık olarak elde ettikleri gelirin önemli bir unsur olduğu göze çarpmaktadır. ZoomInfo’dan derlenen finansal verilere göre yıllık gelirlerinin yaklaşık 300M $ olduğu tahmin edilmektedir. Hedeflenen kurumlarının ortalama yıllık gelirleri hedef belirlemede önemli bir rol oynamaktadır. RYUK gibi tehdit aktörlerinin de benzer yollar izlediği bilgisi paylaşılmıştır.
FIN12’nin ilk aktivitelerinden Mart 2020’ye kadar uzanan süreçte, fidye yazılımı için Trickbot kullandığı bilinmektedir. Ağustos 2020’de geri dönüşleriyle birlikte initial access alanında çeşitliliğe sahip oldukları anlaşılmıştır. Örnek vermek gerekirse 2021’in başlarında tespit edilen bir FIN12 operasyonunda initial access için Citrix ortamına giriş nitelikleri kullanılmıştır. Bunun kanıtı olarak bazı Rusça konuşulan yer altı forumlarında Ryuk ransomware aktiviteleri için Citrix erişimleri tedarik edilmesi noktasında ortaklar arandığına dair yer alan ibareler göze çarpmaktadır. Fakat bu örnek doğrudan FIN12 ile ilişki kurabilmek açısından yeterli kanıtlara sahip değildir. Bununla birlikte operasyondaki iş bölümü ve yapılar, tehdit grubunun profesyonel çalışma şeklini ortaya koymaktadır.
Birçok vakada, ilk izinsiz erişim vektörünün tanımlanmasının ardından FIN12 aktivitelerinin oluştuğu gözlemlenmiştir. Aynı zaman dilimi içerisinde hem forumlarda oluşan intial access paylaşımlarına dair hareketlilik hem de FIN12 operasyonlarının ortaya çıkması bu konuda üretilen tezleri güçlendirmektedir. En dikkat çeken özellikleri, TrickBot ve Bazarloader’a bağlı aktörle yakın ilişki içinden olmalarıdır. Bu erişim imkanlarının dışında farklı araçsetleri ve servisler ile çeşitli backdoor (arka-kapı), dropper ve codesigning sertifakaları kullandıkları ifade edilmiştir. Çalışma şekilleri, özellikle ransomware yerleştirme noktasındaki hareketleri onları diğer tehdit aktörlerinden ayırmaktadır.

FIN12’nin kuruluşlara ilk erişim elde etmek için diğer tehdit aktörlerine güvenmesi ve fidye yazılımı dağıtımına özel odaklanması, fidyeye kadar geçen süreyi (TTR) kısaltmıştır. TTR, bir ortama ilk eriştikleri andan fidye yazılımı dağıtmaya başladıkları zamana kadar geçen süre olarak hesaplanmaktadır. 2021’in ilk yarısında, 2020’ye kıyasla FIN12, TTR’lerini önemli ölçüde iyileştirdi ve yarı yarıya kısaltarak yalnızca 2,5 güne indirdi. Bu verimlilik kazanımları, tehdit aktörlerinin uzmanlıklarını daha hızlı geliştirmelerini sağlayan saldırı yaşam döngüsünün tek bir aşamasında uzmanlaşmalarıyla sağlanmaktadır. FIN12 ayrıca, günümüzün tehdit ortamında yaygın hale gelen bir taktik olan çok yönlü theft ile uğraşmadıkları için bugün fidye yazılımı operatörleri arasında öne çıkmaktadır.

Sonuç
Hizmet olarak fidye yazılımı (RaaS) takımlarını çalıştıran tehdit aktörleri, zaman içerisinde farklı özellikleri operasyon yelpazelerine katmışlardır. Hedef aldıkları sistemden veri çıkarabilmek ve farklı operasyon türleri için zaman aslında en önemli kıstastır. Bu noktada hedef alınan sistemle minimum etkileşimi elde edebilmek önemli bir operasyon vektörüdür. Metinde verilen örnekte olduğu gibi takip edilmeyi zorlaştırmak ve maksimum etkiye neden olmak için profesyonel çalışan yapılar ortaya çıkmaktadır. Bu noktadaki yapılar sürekli değişebilmektedir. FIN12 grubu da özellikle odaklandığı noktalar üstünde çalışabilmesi sebebiyle Cyber Kill Chain sürecinin tamamlanması ve etkisi konusunda verimliliğini çok üst düzeye çıkarabilmiştir. Bu hususta tehdit aktörlerinin izlenmesi ve savunma tedbirlerinin artırılabilmesi açısından yeni taktiklere ihtiyaç duyulduğu ortaya çıkmaktadır.
Raporda paylaşılan atak vektörleri aşağıdaki gibidir:
Indicator type | Indicator |
domain | chaseltd[.]top |
domain | hdhuge[.]com |
domain | networklight10[.]com |
domain | sweetmonsterr[.]com |
FileHash-MD5 | 21b4d9c046db511738232582b41f453c |
FileHash-MD5 | 256fa0ae50b4e199b631047f2fe98b58 |
FileHash-MD5 | af9424249ae00c44624d081a8225506e |
FileHash-MD5 | cf3027fa4e3d5597487691dff1831b97 |
FileHash-MD5 | d43f851cfc732f450a2dc2393604ba3f |
FileHash-MD5 | dceece60dcee5fd4d47755d6b3a85a75 |
FileHash-MD5 | fd81452a3a8f9460ffac8aff6e20431a |
FileHash-SHA1 | 2fafa4da809aa41602119237c84c3446043c32b6 |
FileHash-SHA1 | 6969cc2f1939fd4373a83a2e607318e2cf7d78aa |
FileHash-SHA1 | f50192d0d57188f730b097bb84a32cb8fc15c7c0 |
FileHash-SHA256 | 4379aad7a920fea59a8f6233f47de514e7ba3783d6ae3c230f458142fa9ae9c3 |
FileHash-SHA256 | 81d1e936a8f817e01344049ce63b41e968fec7b265c9d2ab6678412904f15178 |
FileHash-SHA256 | 9d8991b36a1ad73d46d41223d376744031ed6e3ce615465f3792f379c5e1a8a9 |
IPv4 | 149.248.34[.]200 |
IPv4 | 172.93.105[.]2 |
IPv4 | 5.2.72[.]202 |
IPv4 | 23.81.246[.]17 |
IPv4 | 95.179.165[.]239 |
SHA1 of cf3027fa4e3d5597487691dff1831b97″ | |
SHA256 of cf3027fa4e3d5597487691dff1831b97″ | |
URL | hxxp://networklight10[.]com/gate.php |
URL | hxxp://chaseltd[.]top/gate.php |
URL | hxxps://172.93.105[.]2/Menus.aspx |
URL | hxxps://95.179.165[.]239:443/image-directory/bn.ico |
URL | hxxps://hdhuge[.]com/files/remove.gif |
URL | hxxps://sweetmonsterr[.]com/wp-includes/admin.gif |
Referans
https://www.mandiant.com/resources/fin12-ransomware-intrusion-actor-pursuing-healthcare-targets