İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

TA505 Hacker Grubu


TA505, kökenleri 2006 yılına dayanan Rusya menşeili hacker grubudur. Grubun hedef alanıfinansal kurum, kuruluşlar ve sağlık sektörüdür. Geopolitik olarak hedef alanlarında belirli bir ülke, kıta bulunmamakla birlikte operasyonlarını farklı ülkeler, kıtalar ve coğrafi konumlar üzerinde gerçekleştirmektedirler. Günümüze kadar ilerleyen süreçte aktiviteleri Türkiye ve Orta Doğu da dahil olmak üzere Şili, Çin, Fransa, Almanya, Macaristan, Hindistan, İtalya, Meksika, Malavi, Pakistan, Güney Kore, Tayvan, Ukrayna, Birleşik Krallık ve Amerika Birleşik Devletleri gibi birçok ülkede tespit edilmiştir. Hedef aldıkları kurum ve kuruluşlardan dolayı grubun motivasyonu para kaynaklı olduğu gözlemlenmektedir aynı zamanda grubun yüksek hacimli ve tesirli saldırılarından dolayı finansal olarak destekleniyor olması ihtimaller dahilinde yer almaktadır.

TA505 TTP (Tactics, Techniques, and Procedures)

Taktik :TA505 profesyonel birçok APT grubunun ve Hackerların da kullanmış olduğu Cyber Kill Chain modellemesinden faydalanmaktadırlar. Bu modelleme belirli aşamaların sırası ile uygulanarak hedef sistemlerde başarılı saldırıların gerçekleştirmesini sağlayan bir yol haritası olarak gösterilebilir, referans alınabilir. Modelleme teknoloji ve havacılık sektörlerinde lider konuma sahip Lockheed Martin’e aittir ve 7 farklı aşamadan oluşmaktadır aşamalar sırası ile ;

1. Reconnaissance ( Keşif ) : Keşif aşamasında saldırganın veya saldırgan grubun hedef sistem ile ilgili bilgi toplama aşamasıdır. Sosyal mühendislik, OSINT, aktif bilgi toplama gibi yöntemler kullanılır. Gerekli bilgiler toplandığında 2. Aşamaya geçilebilir.

2. Weaponization ( Silahlanma ) : Keşif aşamasında elde edilen bilgilere istinaden sistemde ki giriş noktalarına ulaşabilmek için hangi atak vektörlerinden faydalanabileceğini belirler. Bu aşamada genellikle zararlı yazılım ve oltalama saldırılarından faydalanılır, zararlı yazılımlar ve oltalama saldırı için kullanılacak scriptler ve sahte mailler bu süreçte hazırlanır.

3. Delivery ( İletme ) : Bu aşama saldırının başladığı noktadır. Silahlanma aşamasında meydana getirilmiş olan zararlı yazılımlar ve sahte bilgiler hedef sistem ya da kişiye gönderilir.

4. Exploitation ( Sömürme ) : Bu aşamada iletilen zararlı yazılımın sistem üzerinde çalışmasını sağlamaktır, sistemde aktif olan yazılım güvenlik zafiyetini sömürür.

5. Installation ( Yükleme ) : Sömürme yapıldıktan sonra sistem üzerinde çalışan zararlı yazılımın kalıcı hale gelmesi için yüklenmesidir. İşlem yapıldığında istenilen farklı bir zamanda sisteme erişim sağlanması için backdoor bırakılabilir, yetki yükseltme işlemleri yapılabilir.

6. Command&Control ( Komuta ve Kontrol ) : Sistemde yüklenmiş olan zararlı yazılım sayesinde sistemde çalışan süreçlerin ve sistem ile ilgili daha detaylı bilgi toplanmasını aynızamanda uzaktan bağlantı sayesinde komuta edildiği aşamadır.

7. Actions on Objectives ( Eylem ) : Bu aşamada sistem ele geçirilmiştir ve amaca yönelik işlemler gerçekleştirilebilir, veri şifreleme, veri indirme gibi işlemler bu aşamada uygulanmaktadır.

Teknik : TA505 grubu tarafından kullanıldığı tespit edilen 17 farklı teknik bulunmaktadır bu tekniklerden bahsetmemiz gerekir ise ;

-Hedef sistemde hesap keşfi yapılması. E-mail adres listelerinin çalınması için
-EmailStealer aracı kullanıldı.
-Parolaların ve kimlik bilgilerinin depolandığı işletim sistemleri ve programların hedef haline getirilerek bilgi elde edilmesi.
-Hedef sistemlerde sahte izler bırakmak ve kendilerini maskelemek için dinamik yönlendirme tekniği kullanılmıştır.
-Uygulama katmanı protokolü olan HTTP’nin C2 nodeları ile iletişim kurmak için kullanılması.
-Zararlı yazılım indirmek ve dosyaların çalıştırılabilmesi için Powershell, CMD, VBS, JavaScript kullanılması.
-Grup ve izin ayarlarını ele geçirerek sistemde hangi kullanıcıların ve grupların bulunduğunu ayrıca kullanıcıların yetki sınırlamalarını keşfetmişlerdir. Bu işlemler yapılırken TinyMet kullanılmıştır.
-FTP istemcilerinden ve Outlook üzerinden zararlı yazılımlar vasıtası ile bilgi toplama işlemi gerçekleştirilmiştir.
-Giriş aracı transferi tekniği ile hedef sistemlere zararlı yazılım indirilmiştir.
-DDE tekniği ile zararlı Word dosyalarının kullanılmıştır.
-Phishing tekniklerinden zararlı yazılım içeren e-mailler ve URL’ler kullanılarak hedef sistemlere zararlı yazılımların indirilmesinden faydalanmışlardır.
-DLL’den faydalanarak Office dosyalarının içerisine zararlı yazılım enjekte etmişlerdir.
-Windows sistemlerde kod çalıştırmak, zararlı yazılım indirmek ve imza tabanlı savunma sistemlerini atlatmak için msiexec.exe’den ve rundll32.exe’den faydalanmışlardır.
-Thawte ve Sectigo sertifikalarından faydalanılarak kod imzalamaları gerçekleştirilmiştir. -Hedef sistemlerde ki son kullanıcıların zararlı yazılımları çalıştırması için lures kullanılmıştır.
-Ana cihazlar üzerinde işlem yapabilmek için domain admin hesaplarından faydalanılmıştır.
-Zararlı yazılımların iletilmesi aşamasında yazılımların kriptolojiden faydalanıp şifrelenerek iletilmesi savunma sistemlerini atlatmıştır.
-Erişim sağlanan hedefte data şifreleme yöntemi kullanılarak fidye talep edilmesi. Bu işlem yapılırken kullanılan zararlı yazılımların Locky, Jaff, Bart, Philadelphia ve GlobeImposter oldukları tespit edilmiştir.

TA505 Grubunun Kullandığı Araçlar

Bart, Dridex, FlawedAmmy, FlawedGrace, GlobeImposter, Jaff, Kegotip, Locky, LOLBins, Necurs, Neutrino, Philadelphia, RockLoader, RMS, ServHelper, Shifu ve The Trick...