Saldırının Genel Çerçevesi
Son analizlere göre, Çin destekli tehdit grupları BRICKSTORM isimli sofistike bir arka kapı implantını kullanarak ABD merkezli çeşitli sektörlerde uzun süreli gizli erişim sağlıyor. Bu saldırılar özellikle hukuk hizmetleri, SaaS sağlayıcıları, iş süreçleri dış kaynak kullanımı (BPO) ve teknoloji firmalarını hedef alıyor. Saldırılar 2024 yılı başından itibaren Ivanti Connect Secure (CVE-2023-46805, CVE-2024-21887) ve VMware vCenter (CVE-2024-38812, CVE-2023-34048, CVE-2021-22005) gibi kritik zafiyetlerin istismarıyla gerçekleşiyor.
Saldırı Zinciri ve Teknik Detaylar
BRICKSTORM, Golang ile geliştirilmiş, VMware vSphere ve Windows ortamlarında çalışan gelişmiş bir arka kapı implantıdır. HTTPS, WebSockets ve TLS gibi çoklu protokolleri destekleyerek C2 iletişimini DNS-over-HTTPS (DoH) üzerinden gizler ve SOCKS proxy işlevi görür. Saldırganlar, web kabuğu aracılığıyla DMZ’deki web sunucusuna erişim sağladıktan sonra yan hareketle VMware vCenter sunucusuna geçerek BRICKSTORM’u yerleştiriyor. Ardından SMB protokolüyle Active Directory Federation Services (ADFS) sunucusuna yan hareket yaparak kriptografik anahtarları dışarı çıkarıyorlar. Bu süreçte servis hesaplarının kimlik bilgileri ele geçirilerek RDP üzerinden alan denetleyicilerine erişim sağlanıyor.
Warp Panda olarak izlenen grup, BRICKSTORM’un yanı sıra Junction ve GuestConduit adlı iki yeni Golang implantı da kullanıyor. Junction, HTTP sunucusu olarak komut yürütme ve VM’ler arası iletişim sağlarken, GuestConduit misafir VM’lerde VSOCK dinleyicisi kurarak ağ trafiğini tünelliyor. Yan hareketler SSH ve vCenter yönetim hesabı “vpxuser” kullanılarak gerçekleştiriliyor. SFTP ile dosya transferi yapılıyor ve günlükler ile dosya zaman damgaları manipüle edilerek izler siliniyor.
Hangi Sistemler Risk Altında?
Özellikle VMware vCenter ve ESXi hostları hedef alınırken, Ivanti Connect Secure cihazları da kritik zafiyetler nedeniyle risk altında. ABD’deki hukuk, teknoloji, üretim ve BPO sektörleri ile bulut altyapıları saldırıların odak noktası. Saldırganlar, bulut ortamlarında kalıcılık kurarak Microsoft Azure üzerinden OneDrive, SharePoint ve Exchange gibi hizmetlere erişim sağlıyor. Kullanıcı oturum belirteçleri ele geçirilerek Microsoft 365 servislerinde oturum tekrarlama saldırıları düzenleniyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Ivanti Connect Secure ve VMware vCenter sistemlerinde ilgili CVE’ler için acil yamaları uygulayın.
- EDR çözümlerinde BRICKSTORM ve benzeri implantların davranışlarını tespit edecek kurallar geliştirin.
- DNS-over-HTTPS (DoH) trafiğini izleyerek anormal C2 iletişimlerini tespit edin.
- Active Directory Federation Services (ADFS) ve alan denetleyicilerinin loglarını düzenli olarak analiz edin.
- RDP ve SSH erişimlerini sıkılaştırarak çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirin.
- Servis hesaplarının kullanımını denetleyin ve gereksiz ayrıcalıkları kaldırın.
- Bulut ortamlarında IAM politikalarını gözden geçirerek servis prensiplerinin ve uygulamaların erişimlerini sınırlandırın.
- Olay müdahale süreçlerinizi BRICKSTORM gibi gelişmiş tehditlere karşı güncelleyin ve simülasyonlar yapın.
Teknik Özet
- Kullanılan zararlılar: BRICKSTORM, Junction, GuestConduit implantları
- Hedef sektörler: Hukuk, teknoloji, üretim, BPO, bulut hizmetleri
- Kritik zafiyetler: CVE-2024-21887, CVE-2023-46805, CVE-2024-38812, CVE-2023-34048, CVE-2021-22005, CVE-2023-46747
- Saldırı zinciri: Kenar cihaz erişimi → Web kabuğu yerleştirme → Yan hareketle vCenter’a geçiş → BRICKSTORM implantı kurulumu → Alan denetleyicilerine erişim
- Önerilen savunma: Kritik yamaların uygulanması, ağ segmentasyonu, MFA, EDR ve SIEM ile anomali tespiti
Bu gelişmeler, özellikle bulut güvenliği ve ağ segmentasyonu uygulamalarının önemini bir kez daha ortaya koyuyor. Siber güvenlik ekiplerinin, e-posta güvenliği ve olay müdahale (incident response) süreçlerini güncelleyerek bu tür gelişmiş tehditlere karşı hazırlıklı olmaları gerekiyor.