6.2 C
İstanbul
18/02/2025
Image default
Global Zararlı Analizi RaporlarıHaberlerSiber SaldırılarTehdit Aktörleri

Mandiant: FIN12 ve Aktiviteleri

Giriş

Mandiant, finansal olarak motive edilmiş ve bir hayli aktif olan FIN12 tehdit aktörü hakkında kapsamlı bir rapor yayınlamıştır. Ransomware (fidye-yazılım) tabanlı siber saldırılar gerçekleştiren grup, ağırlıklı olarak sağlık kurumlarını hedef almaktadır. Kapsamlı raporda, operasyonlarının özellikleri, ilk erişimde kullandığı metodlar, TTPs (teknik, taktik, prosedür) ve CobaltStrike Beacon kullanımları hakkında bilgiler paylaşılmıştır.

FIN12 Aktiviteleri ve Rapor Detayları

FIN12’nin operasyonlarının hedef gözetmeksizin gerçekleştirildiğini söylemek yanlış olmayacaktır. Gerçekleştirilen operasyonların %20 kadarı sağlık endüstrisini hedef almaktadır. Bu endüstrinin önemli bir kısmı da sağlık servisi veren kurumlardan oluşmaktadır. Ekim 2020’de ABD tarafından yapılan bir bildirimde sağlık kurumlarını hedef alan ciddi bir siber saldırı tehdinin beklendiği ifade edilmiştir. Bu bildirimin ardından FIN12 aktivitelerinin ortaya çıktığı tespit edilmiştir. FIN12’nin diğer hedef aldığı sektörler ise ticari hizmetler, eğitim, finans, perakende, teknoloji olarak ifade edilmektedir.

FIN12 aktivitelerinin hedef aldığı bölgelere baktığımızda ağırlıklı olarak Kuzey Amerika’daki kurumları hedef aldığı görülmektedir. Fakat geçen zaman içerisinde tehdit grubu, farklı ortaklar ile çalışmasıyla birlikte hedef aldığı alanı genişletmiştir. Hedef alınan ülkeler arasında İspanya, Endonezya, Filipinler, Avustralya, Fransa ve Birleşik Krallık gibi yerler de bulunmaktadır.

FIN12’nin finansal özelliklerini masaya yatırdığımızda yıllık olarak elde ettikleri gelirin önemli bir unsur olduğu göze çarpmaktadır. ZoomInfo’dan derlenen finansal verilere göre yıllık gelirlerinin yaklaşık 300M $ olduğu tahmin edilmektedir. Hedeflenen kurumlarının ortalama yıllık gelirleri hedef belirlemede önemli bir rol oynamaktadır. RYUK gibi tehdit aktörlerinin de benzer yollar izlediği bilgisi paylaşılmıştır.

FIN12’nin ilk aktivitelerinden Mart 2020’ye kadar uzanan süreçte, fidye yazılımı için Trickbot kullandığı bilinmektedir. Ağustos 2020’de geri dönüşleriyle birlikte initial access alanında çeşitliliğe sahip oldukları anlaşılmıştır. Örnek vermek gerekirse 2021’in başlarında tespit edilen bir FIN12 operasyonunda initial access için Citrix ortamına giriş nitelikleri kullanılmıştır. Bunun kanıtı olarak bazı Rusça konuşulan yer altı forumlarında Ryuk ransomware aktiviteleri için Citrix erişimleri tedarik edilmesi noktasında ortaklar arandığına dair yer alan ibareler göze çarpmaktadır. Fakat bu örnek doğrudan FIN12 ile ilişki kurabilmek açısından yeterli kanıtlara sahip değildir. Bununla birlikte operasyondaki iş bölümü ve yapılar, tehdit grubunun profesyonel çalışma şeklini ortaya koymaktadır.

Birçok vakada, ilk izinsiz erişim vektörünün tanımlanmasının ardından FIN12 aktivitelerinin oluştuğu gözlemlenmiştir. Aynı zaman dilimi içerisinde hem forumlarda oluşan intial access paylaşımlarına dair hareketlilik hem de FIN12 operasyonlarının ortaya çıkması bu konuda üretilen tezleri güçlendirmektedir. En dikkat çeken özellikleri, TrickBot ve Bazarloader’a bağlı aktörle yakın ilişki içinden olmalarıdır. Bu erişim imkanlarının dışında farklı araçsetleri ve servisler ile çeşitli backdoor (arka-kapı), dropper ve codesigning sertifakaları kullandıkları ifade edilmiştir. Çalışma şekilleri, özellikle ransomware yerleştirme noktasındaki hareketleri onları diğer tehdit aktörlerinden ayırmaktadır.

Directly observed initial accesses leveraged by FIN12
Resim 1: FIN12 İlişkili Initial Access Gözlemleri

FIN12’nin kuruluşlara ilk erişim elde etmek için diğer tehdit aktörlerine güvenmesi ve fidye yazılımı dağıtımına özel odaklanması, fidyeye kadar geçen süreyi (TTR) kısaltmıştır. TTR, bir ortama ilk eriştikleri andan fidye yazılımı dağıtmaya başladıkları zamana kadar geçen süre olarak hesaplanmaktadır. 2021’in ilk yarısında, 2020’ye kıyasla FIN12, TTR’lerini önemli ölçüde iyileştirdi ve yarı yarıya kısaltarak yalnızca 2,5 güne indirdi. Bu verimlilik kazanımları, tehdit aktörlerinin uzmanlıklarını daha hızlı geliştirmelerini sağlayan saldırı yaşam döngüsünün tek bir aşamasında uzmanlaşmalarıyla sağlanmaktadır. FIN12 ayrıca, günümüzün tehdit ortamında yaygın hale gelen bir taktik olan çok yönlü theft ile uğraşmadıkları için bugün fidye yazılımı operatörleri arasında öne çıkmaktadır.

FIN12’s Time-to-Ransom (TTR)
Resim 2: FIN12 TTR Süreleri Karşılaştırması

Sonuç

Hizmet olarak fidye yazılımı (RaaS) takımlarını çalıştıran tehdit aktörleri, zaman içerisinde farklı özellikleri operasyon yelpazelerine katmışlardır. Hedef aldıkları sistemden veri çıkarabilmek ve farklı operasyon türleri için zaman aslında en önemli kıstastır. Bu noktada hedef alınan sistemle minimum etkileşimi elde edebilmek önemli bir operasyon vektörüdür. Metinde verilen örnekte olduğu gibi takip edilmeyi zorlaştırmak ve maksimum etkiye neden olmak için profesyonel çalışan yapılar ortaya çıkmaktadır. Bu noktadaki yapılar sürekli değişebilmektedir. FIN12 grubu da özellikle odaklandığı noktalar üstünde çalışabilmesi sebebiyle Cyber Kill Chain sürecinin tamamlanması ve etkisi konusunda verimliliğini çok üst düzeye çıkarabilmiştir. Bu hususta tehdit aktörlerinin izlenmesi ve savunma tedbirlerinin artırılabilmesi açısından yeni taktiklere ihtiyaç duyulduğu ortaya çıkmaktadır.

Raporda paylaşılan atak vektörleri aşağıdaki gibidir:

Indicator typeIndicator
domainchaseltd[.]top
domainhdhuge[.]com
domainnetworklight10[.]com
domainsweetmonsterr[.]com
FileHash-MD521b4d9c046db511738232582b41f453c
FileHash-MD5256fa0ae50b4e199b631047f2fe98b58
FileHash-MD5af9424249ae00c44624d081a8225506e
FileHash-MD5cf3027fa4e3d5597487691dff1831b97
FileHash-MD5d43f851cfc732f450a2dc2393604ba3f
FileHash-MD5dceece60dcee5fd4d47755d6b3a85a75
FileHash-MD5fd81452a3a8f9460ffac8aff6e20431a
FileHash-SHA12fafa4da809aa41602119237c84c3446043c32b6
FileHash-SHA16969cc2f1939fd4373a83a2e607318e2cf7d78aa
FileHash-SHA1f50192d0d57188f730b097bb84a32cb8fc15c7c0
FileHash-SHA2564379aad7a920fea59a8f6233f47de514e7ba3783d6ae3c230f458142fa9ae9c3
FileHash-SHA25681d1e936a8f817e01344049ce63b41e968fec7b265c9d2ab6678412904f15178
FileHash-SHA2569d8991b36a1ad73d46d41223d376744031ed6e3ce615465f3792f379c5e1a8a9
IPv4149.248.34[.]200
IPv4172.93.105[.]2
IPv45.2.72[.]202
IPv423.81.246[.]17
IPv495.179.165[.]239
SHA1 of cf3027fa4e3d5597487691dff1831b97″
SHA256 of cf3027fa4e3d5597487691dff1831b97″
URLhxxp://networklight10[.]com/gate.php
URLhxxp://chaseltd[.]top/gate.php
URLhxxps://172.93.105[.]2/Menus.aspx
URLhxxps://95.179.165[.]239:443/image-directory/bn.ico
URLhxxps://hdhuge[.]com/files/remove.gif
URLhxxps://sweetmonsterr[.]com/wp-includes/admin.gif
Tablo 1: IoC Tablosu

Referans

https://www.mandiant.com/resources/fin12-ransomware-intrusion-actor-pursuing-healthcare-targets

https://www.mandiant.com/media/12596/download

Related posts

Londra’da bir konseye ciddi bir siber saldırı gerçekleştirildi!

Serdar H.

SMAUG Fidye Yazılımı

Serdar H.

Sunburst Backdoor!

Mustafa Okay Maktav

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası