Uzmanlarımız, Lazarus APT grubunun alt grubu olduğu düşünülen Andariel’in aktivitelerini araştırdı. Siber suçlular dünya çapında işletmelere saldırmak için DTrack kötü amaçlı yazılımını ve Maui fidye yazılımını kullanıyor. Lazarus gibi bu grup da finansal kazanç elde etmek için saldırıyor. Bu sefer fidye istemeyi tercih ediyorlar.
Andariel saldırılarının hedefleri
Uzmanlarımız Andariel grubunun belirli bir endüstriye odaklanmak yerine önüne gelen şirkete saldırdığı sonucuna vardı. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Haziran’da Maui fidye yazılımının ağırlıklı olarak ABD sağlık sektöründen şirketleri ve devlet kurumlarını hedef aldığını bildirmişti. Ancak ekibimiz Japonya’da en az bir konut şirketine düzenlenen saldırının yanı sıra Hindistan, Vietnam ve Rusya’dan birçok kurban tespit etti.
Andariel araçları
Andariel grubunun başlıca aracı uzun zamandır bilinen DTrack kötü amaçlı yazılımı. DTrack kurban hakkında bilgi toplayıp uzaktaki bir ana bilgisayara gönderiyor. DTrack’in diğer birçok verinin yanında tarayıcı geçmişini de topluyor ve ayrı bir dosyaya kaydediyor. Andariel saldırılarında kullanılan varyant yalnızca toplanan bilgileri HTTP üzerinden siber suçluların sunucusuna göndermekle kalmıyor, aynı zamanda kurbanın ağında uzak bir ana bilgisayarda da saklayabiliyor.
Saldırganlar işe yarar veriler bulduğunda işin içine Maui fidye yazılımı giriyor. Bu yazılım, saldırıya uğrayan ana bilgisayarlarda genellikle DTrack kötü amaçlı yazılımının aktive olmasından 10 saat sonra tespit ediliyor. Maui numunelerini inceleyen Staiwell’deki meslektaşlarımız, fidye yazılımının operatörler tarafından manuel olarak kontrol edildiğini, yani hangi verilerin şifreleneceğini operatörlerin belirlediğini tespit etti.
Saldırganların kullandığı bir diğer araç da 3Proxy gibi görünüyor. Yasal ve ücretsiz olan bu platformlar arası proxy sunucusu büyük olasılıkla kompakt boyutundan ötürü (yalnızca birkaç yüz kilobayt) saldırganların ilgisini çekiyor. Bu tür bir araç, güvenliği ihlal edilen bir bilgisayarla uzaktan bağlantıyı sürdürmek için kullanılabiliyor.
Andariel kötü amaçlı yazılımını nasıl yayıyor
Siber suçlular halka açık çevrimiçi hizmetlerin yamasız sürümlerini kötüye kullanıyor. Vakalardan birinde kötü amaçlı yazılım bir HFS’ten (HTTP dosya sunucusu) indirilmiş. Saldırganlar uzaktaki bir sunucudan bir Powershell komut dosyası yürütebilmelerini sağlayan bilinmeyen bir kötüye kullanımdan faydalanmışlar. Bir başkasında ise CVE-2017-10271 güvenlik açığını kötüye kullanarak bir WebLogic sunucusunun güvenliğini ihlal etmeyi başarmışlar, bu da nihayetinde bir komut dosyası yürütebilmelerine olanak vermiş.
Saldırının ve kullanılan araçların daha detaylı teknik açıklaması ve güvenlik ihlali göstergeleri için Securelist gönderimizi inceleyebilirsiniz.
Kendinizi korumanın yolları
Öncelikle sunucular da dahil tüm kurumsal cihazların güçlü güvenlik çözümleriyle korunduğundan emin olun. Buna ek olarak, gerçekten virüs bulaşması halinde başvurmak üzere öncesinde fidye yazılımlarına karşı bir strateji ve önlemler geliştirmeniz de akılcı olur.