Türk bilgisayar korsanları, kapsamlı bir siber saldırıyla Amerika Birleşik Devletleri, Avrupa Birliği ve Latin Amerika'daki Microsoft SQL Server veritabanlarını hedef alan RE#TURGENCE adlı bir fidye yazılımı kampanyası başlattı. Mali motivasyona sahip saldırganlar, MIMIC fidye yazılımını enjekte etmek için zayıf konfigürasyonlardan faydalanıyor veya tehlikeye atılan sunucu erişimini en yüksek teklifi verene satıyor.
Bu Securonix Tehdit Araştırma ekibi bu kampanyanın çalışma şeklini titizlikle belgeleyerek güvensiz MSSQL sunucularına yapılan saldırıların endişe verici bir modelini ortaya çıkarmıştır. Ekibin bulguları, bu tür saldırıları engellemek için güçlendirilmiş sunucu güvenliğine duyulan acil ihtiyacın altını çiziyor.
Sızma Oyun Kitabı
Saldırganlar, Microsoft SQL Sunucuları üzerindeki yönetici kimlik bilgilerini zorlayarak ve tartışmalı xp_cmdshell yapılandırma seçeneği, potansiyel kötüye kullanımı ile bilinen bir prosedür. İçeri girdikten sonra, kurbanın altyapısına yerleşmek için bir dizi sofistike araç ve teknik kullanırlar.
Bir PowerShell komut dosyası, daha sonra gizli yürütme için SndVol.exe gibi iyi huylu Windows işlemlerine enjekte edilen ağır bir şekilde gizlenmiş Cobalt Strike yükü için dağıtım mekanizması görevi görür. Tehdit aktörleri ayrıca uzak masaüstü uygulaması AnyDesk'i kurarak kalıcı erişim için bir hizmet olarak yapılandırıyor.
Kimlik bilgilerinin toplanması kampanyada kritik bir adımdır ve bilgisayar korsanları şifreleri ele geçirmek için Mimikatz kullanmaktadır. Ayrıca keşif için Advanced Port Scanner yardımcı programını ve yanal hareket için PsExec'i kullanarak etki alanı denetleyicilerini ele geçiriyorlar.
Son aşamada MIMIC fidye yazılımı, SQL sunucusundan başlayarak etki alanı denetleyicisine ve etki alanına bağlı diğer ana bilgisayarlara manuel olarak dağıtılır. Dosyalar şifrelenir ve şifre çözme anahtarı karşılığında ödeme talep eden bir fidye notu bırakılır.
Fidye Yazılımı Yükü
MIMIC fidye yazılımı, ilk tanımlanmış Ocak 2023'te korkunç bir tehdittir. Dosya şifrelemeyi kolaylaştırmak için meşru bir Windows arama aracı olan Everything uygulamasından yararlanır. Fidye yazılımı, şifreleme işleminde kullanılan ikili dosyaları titizlikle silerek geride kurbanın C:\ sürücüsünde uğursuz bir metin dosyası fidye notu bırakır.
Kampanyanın erişimi ve karmaşıklığı küçümsenecek gibi değil. Saldırganların AnyDesk aracılığıyla pano içeriğinin açığa çıkmasına neden olan operasyonel güvenlik (OPSEC) hatası, Türkçe iletişimleri ve en az bir failin Türk kökenine işaret eden "atseverse" çevrimiçi takma adını ortaya çıkardı.
Öneriler ve Hafifletmeler
Securonix ekibi ve siber güvenlik uzmanları, kritik sunucuların doğrudan internete maruz bırakılmamasını şiddetle tavsiye etmektedir. Bunun yerine VPN'lerin veya daha güvenli bir altyapının kullanılması önerilmektedir. Ayrıca, bu tür saldırıları önlemek için xp_cmdshell prosedürü MSSQL sunucularında varsayılan olarak devre dışı bırakılmalıdır.
Küresel Bir Endişe
RE#TURGENCE kampanyası, değişen tehdit ortamının keskin bir hatırlatıcısı olarak duruyor. Tarafından belirtildiği gibi CSO Online"Analiz edilen tehdit kampanyası iki yoldan biriyle sona eriyor gibi görünüyor; ya güvenliği ihlal edilmiş ana bilgisayara 'erişim' satılması ya da fidye yazılımı yüklerinin nihai olarak teslim edilmesi." Bu ikili tehdit, dikkatli olma ve proaktif güvenlik önlemleri alma ihtiyacının altını çiziyor.
Hacker Haberleri kritik sunucuları internete açmaktan kaçınmanın kritikliğini vurgulayarak bu düşünceyi yinelemektedir. Daha fazla bilgi için BleepingComputerFidye yazılımının şifreleme/ödeme bildirimini ve Crysis fidye yazılımının bir türevi olan Phobos fidye yazılımıyla olan bağlantısını detaylandırıyor.
Siber topluluk bu tehditleri izlemeye ve bunlara yanıt vermeye devam ederken, kurumların savunmalarını güçlendirmeleri ve kötü niyetli aktörlerden bir adım önde olmaları gerekmektedir. RE#TURGENCE kampanyası sadece bir uyandırma çağrısı değil, aynı zamanda modern siber düşmanların taktiklerini anlamak ve bunlarla mücadele etmek için bir plandır.