Saldırının Genel Çerçevesi
2020’den beri aktif olan ve son dönemde yoğunlaşan CL-UNK-1068 adlı tehdit grubu, Asya bölgesindeki kritik altyapı sektörlerini hedef alıyor. Havacılık, enerji, hükümet, kolluk kuvvetleri, ilaç, teknoloji ve telekomünikasyon alanlarındaki kurumlar, bu kampanyanın odak noktası. Saldırılar genellikle web sunucularındaki açıklardan faydalanarak başlıyor ve Mimikatz gibi kimlik bilgisi hırsızlığı araçlarıyla devam ediyor.
Bu grup, hem Windows hem de Linux sistemlerde çalışan çok çeşitli açık kaynaklı ve özel geliştirilmiş araçlar kullanıyor. Godzilla ve ANTSWORD gibi web kabuklarıyla sistemlerde kalıcı erişim sağlanırken, Xnote gibi Linux arka kapıları da aktif şekilde kullanılıyor. Ayrıca, FRP (Fast Reverse Proxy) gibi proxy araçlarıyla saldırganlar ağ içinde gizli iletişim kuruyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırıların tipik akışı şu şekilde ilerliyor:
- Web sunucularındaki zafiyetler kullanılarak Godzilla ve ANTSWORD web kabukları yerleştiriliyor.
- “c:\inetpub\wwwroot” dizininde bulunan “web.config”, “.aspx”, “.asmx”, “.asax” ve “.dll” dosyaları hedeflenerek kimlik bilgisi ve yapılandırma verileri çalınıyor.
- Toplanan veriler WinRAR ile arşivlenip Base64 formatına çevriliyor ve web kabuğu üzerinden dışarı aktarılıyor.
- DLL yan yükleme saldırılarıyla meşru Python yürütülebilir dosyaları kullanılarak kötü amaçlı DLL’ler çalıştırılıyor.
- Mimikatz, LsaRecorder, DumpItForLinux ve Volatility Framework gibi araçlarla bellekten kimlik bilgisi ve parola karmaları çıkarılıyor.
Bu teknikler, MITRE ATT&CK taksonomisinde T1059 (Komut ve Betik Yürütme), T1071 (Uzak Komut ve Kontrol), T1003 (Bellekten Kimlik Bilgisi Çalma) gibi tekniklerle örtüşüyor.
Hangi Sistemler ve Sektörler Risk Altında?
Hedefler arasında kritik altyapı kuruluşları ve devlet kurumları yer alıyor. Hem Windows hem Linux tabanlı sistemler saldırı kapsamına dahil edilmiş durumda. Özellikle web sunucuları ve MS-SQL veritabanları üzerinden veri sızıntısı gerçekleşiyor. Ayrıca, SQL Server Management Studio’nun bağlantı bilgilerini çalmak için özel araçlar kullanılması, veri tabanı yönetim sistemlerinin de risk altında olduğunu gösteriyor.
Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler
- Web sunucularındaki yazılım ve bileşenleri düzenli olarak güncelleyin ve kritik yamaları uygulayın.
- EDR çözümleri ile anormal DLL yüklemelerini ve yan yükleme saldırılarını tespit edin.
- Kimlik bilgisi hırsızlığına karşı Mimikatz ve benzeri araçların kullanımını engelleyecek bellek koruma önlemleri alın.
- WinLogon ve LSA süreçlerine yönelik olağandışı kancalama faaliyetlerini izlemek için SIEM kurallarını yapılandırın.
- Veri sızıntısı riskini azaltmak için ağ segmentasyonu ve Zero Trust prensiplerini uygulayın.
- Web kabuklarının yerleştirildiği dizinlerdeki dosya erişim ve değişikliklerini düzenli olarak denetleyin.
- Base64 kodlama ve benzeri veri gizleme tekniklerine karşı log analizlerini derinleştirin.
- SQL Server bağlantı bilgileri ve veritabanı yedeklerinin güvenliğini artırmak için erişim kontrollerini sıkılaştırın.
Kurumsal Ortamlarda Olası Senaryo
Örneğin, bir telekomünikasyon şirketinde web sunucusundaki kritik bir zafiyet üzerinden Godzilla web kabuğu yerleştiriliyor. Saldırganlar, bu kabuk aracılığıyla ağda yatay hareket gerçekleştirip, Mimikatz ile domain kullanıcılarının kimlik bilgilerini ele geçiriyor. Ardından, FRP proxy ile komut ve kontrol trafiğini gizleyerek uzun süre fark edilmeden veri sızdırıyorlar. Bu senaryoda, eksik yamalar, yetersiz ağ segmentasyonu ve zayıf kimlik doğrulama mekanizmaları saldırının başarısını artırıyor.
Bu tür saldırılar, e-posta güvenliği ve olay müdahale süreçlerinin etkin yönetilmesini zorunlu kılıyor. Ayrıca, bulut güvenliği ve ağ segmentasyonu stratejilerinin gözden geçirilmesi kritik önem taşıyor.