Hydrochasma adlı yeni tehdit aktörü, COVID-19 tedavisi için aşı geliştirme ve tedavilerinde kullanılan nakliye firmalarını ve tıbbi laboratuvarları hedef alıyor.

Saldırganların amacı istihbarat almak gibi görünüyor, firma faaliyetleri geçen ekim ayından bu yana bir Broadcom şirketi olan Symantec’teki tehdit avcıları tarafından izleniyor.

Hydrochasma, yalnızca açık kaynaklı araçları ve “living off the land” (LotL) taktiklerini kullanır. Bilinmeyen bu tehdit aktörü, saldırı sonrasında arkasında yaklanmaya yol açabilecek hiçbir iz bırakmaz.

Saldırı Akışı

Hydrochasma saldırısının büyük olasılıkla bir oltalama e-postasıyla başladığı tahmin ediliyor. Symantec’in, saldırının kaynağının belgeleri taklit etme üzerine olduğuna dair bir varsayımı vardır.

Saldırganlar sahte belgelerle nakliye firmalarını hedeflerken “ürün spesifikasyon bilgileri”, tıbbi laboratuvarları hedeflerken “iş başvurusunda bulunan kişinin özgeçmişini” gibi bilgileri kullanıyor.

Bir makinenin güvenlik sistemini aştıktan sonra, saldırgan erişimi kullanarak bir NAT veya güvenlik duvarının arkasındaki genel web yerel sunucularını açığa çıkarabilen Hızlı Ters Proxy (FRP) bırakır.

Ardından, Hydrochasma virüslü sisteme aşağıdaki araçları bırakır:

• Meterpreter, uzaktan erişim sağlayan gelişmiş penetrasyon testi özelliklerine sahip bir araçtır.
• Gogo, otomatik bir ağ tarama motorudur.
• Process Dumper, etki alanı parolalarını keşfetme ve lsass.exe dökümü yapmak için kullanılır.
• Cobalt Strike Beacon, komutları yürütmek, enjekte etmek, dosya yüklemek / indirmek için kullanılır.
• Fscan, açık port tarayıcısıdır.
• Dogz, ücretsiz VPX proxy aracıdır.
• SoftEtherVPN, ücretsiz açık kaynaklı VPN aracıdır.
• Procdump, kilitlenme dökümleri, işlem dökümleri oluşturmaya ve bir uygulamanın CPU kullanımını izlemeye olanak tanıyan bir Microsoft Sysinternals yardımcı programıdır.
• Ntlmrelay, NTLM geçişi saldırıları ve geçerli kimlik doğrulama isteklerini engellemek için kullanılır.
• Görev Zamanlayıcı, sistemdeki görevleri otomatikleştirir ve süreklilik kılar.
• Go-strip, Go ikili dosyasının boyutunu azaltır.
• HackBrowserData, tarayıcı verilerinin şifresini çözmek için açık kaynaklı yardımcı programdır.

Herkes tarafından bilinen ve kullanılan açık kaynak kodu araçları bu kadar kapsamlı kullanmak, etkinliği belirli bir tehdit grubuna bağlamayı zorlaştırıyor ve bu davranış saldırganların hedef ağ üzerinde uzun süre kalmayı amaçladığını gösteriyor.

Symantec araştırmacıları, “Hydrochasma tarafından dağıtılan araçlar, kurban makinelerine kalıcı ve gizli erişim sağlama arzusunun yanı sıra ayrıcalıkları artırma ve kurban ağları arasında hızlı yayılma çabasını gösteriyor” ve “Symantec araştırmacıları, kurban makinelerinden sızan verileri gözlemlememiş olsalar da, Hydrochasma tarafından kullanılan bazı araçlar uzaktan erişime izin veriyor ve bu durum potansiyel veri sızdırmak için kullanılabilir.” şeklinde açıklamalarda bulundu.

Kaynakça:

Hydrochasma hackers target medical research labs, shipping firms (bleepingcomputer.com)