EN
EN

TA505 Hacker Grubu

21 Aralık 2020


TA505, kökenleri 2006 yılına dayanan Rusya menşeili hacker grubudur. Grubun hedef alanıfinansal kurum, kuruluşlar ve sağlık sektörüdür. Geopolitik olarak hedef alanlarında belirli bir ülke, kıta bulunmamakla birlikte operasyonlarını farklı ülkeler, kıtalar ve coğrafi konumlar üzerinde gerçekleştirmektedirler. Günümüze kadar ilerleyen süreçte aktiviteleri Türkiye ve Orta Doğu da dahil olmak üzere Şili, Çin, Fransa, Almanya, Macaristan, Hindistan, İtalya, Meksika, Malavi, Pakistan, Güney Kore, Tayvan, Ukrayna, Birleşik Krallık ve Amerika Birleşik Devletleri gibi birçok ülkede tespit edilmiştir. Hedef aldıkları kurum ve kuruluşlardan dolayı grubun motivasyonu para kaynaklı olduğu gözlemlenmektedir aynı zamanda grubun yüksek hacimli ve tesirli saldırılarından dolayı finansal olarak destekleniyor olması ihtimaller dahilinde yer almaktadır.

TA505 TTP (Tactics, Techniques, and Procedures)

Taktik :TA505 profesyonel birçok APT grubunun ve Hackerların da kullanmış olduğu Cyber Kill Chain modellemesinden faydalanmaktadırlar. Bu modelleme belirli aşamaların sırası ile uygulanarak hedef sistemlerde başarılı saldırıların gerçekleştirmesini sağlayan bir yol haritası olarak gösterilebilir, referans alınabilir. Modelleme teknoloji ve havacılık sektörlerinde lider konuma sahip Lockheed Martin’e aittir ve 7 farklı aşamadan oluşmaktadır aşamalar sırası ile ;

1. Reconnaissance ( Keşif ) : Keşif aşamasında saldırganın veya saldırgan grubun hedef sistem ile ilgili bilgi toplama aşamasıdır. Sosyal mühendislik, OSINT, aktif bilgi toplama gibi yöntemler kullanılır. Gerekli bilgiler toplandığında 2. Aşamaya geçilebilir.

2. Weaponization ( Silahlanma ) : Keşif aşamasında elde edilen bilgilere istinaden sistemde ki giriş noktalarına ulaşabilmek için hangi atak vektörlerinden faydalanabileceğini belirler. Bu aşamada genellikle zararlı yazılım ve oltalama saldırılarından faydalanılır, zararlı yazılımlar ve oltalama saldırı için kullanılacak scriptler ve sahte mailler bu süreçte hazırlanır.

3. Delivery ( İletme ) : Bu aşama saldırının başladığı noktadır. Silahlanma aşamasında meydana getirilmiş olan zararlı yazılımlar ve sahte bilgiler hedef sistem ya da kişiye gönderilir.

4. Exploitation ( Sömürme ) : Bu aşamada iletilen zararlı yazılımın sistem üzerinde çalışmasını sağlamaktır, sistemde aktif olan yazılım güvenlik zafiyetini sömürür.

5. Installation ( Yükleme ) : Sömürme yapıldıktan sonra sistem üzerinde çalışan zararlı yazılımın kalıcı hale gelmesi için yüklenmesidir. İşlem yapıldığında istenilen farklı bir zamanda sisteme erişim sağlanması için backdoor bırakılabilir, yetki yükseltme işlemleri yapılabilir.

6. Command&Control ( Komuta ve Kontrol ) : Sistemde yüklenmiş olan zararlı yazılım sayesinde sistemde çalışan süreçlerin ve sistem ile ilgili daha detaylı bilgi toplanmasını aynızamanda uzaktan bağlantı sayesinde komuta edildiği aşamadır.

7. Actions on Objectives ( Eylem ) : Bu aşamada sistem ele geçirilmiştir ve amaca yönelik işlemler gerçekleştirilebilir, veri şifreleme, veri indirme gibi işlemler bu aşamada uygulanmaktadır.

Teknik : TA505 grubu tarafından kullanıldığı tespit edilen 17 farklı teknik bulunmaktadır bu tekniklerden bahsetmemiz gerekir ise ;

-Hedef sistemde hesap keşfi yapılması. E-mail adres listelerinin çalınması için
-EmailStealer aracı kullanıldı.
-Parolaların ve kimlik bilgilerinin depolandığı işletim sistemleri ve programların hedef haline getirilerek bilgi elde edilmesi.
-Hedef sistemlerde sahte izler bırakmak ve kendilerini maskelemek için dinamik yönlendirme tekniği kullanılmıştır.
-Uygulama katmanı protokolü olan HTTP’nin C2 nodeları ile iletişim kurmak için kullanılması.
-Zararlı yazılım indirmek ve dosyaların çalıştırılabilmesi için Powershell, CMD, VBS, JavaScript kullanılması.
-Grup ve izin ayarlarını ele geçirerek sistemde hangi kullanıcıların ve grupların bulunduğunu ayrıca kullanıcıların yetki sınırlamalarını keşfetmişlerdir. Bu işlemler yapılırken TinyMet kullanılmıştır.
-FTP istemcilerinden ve Outlook üzerinden zararlı yazılımlar vasıtası ile bilgi toplama işlemi gerçekleştirilmiştir.
-Giriş aracı transferi tekniği ile hedef sistemlere zararlı yazılım indirilmiştir.
-DDE tekniği ile zararlı Word dosyalarının kullanılmıştır.
-Phishing tekniklerinden zararlı yazılım içeren e-mailler ve URL’ler kullanılarak hedef sistemlere zararlı yazılımların indirilmesinden faydalanmışlardır.
-DLL’den faydalanarak Office dosyalarının içerisine zararlı yazılım enjekte etmişlerdir.
-Windows sistemlerde kod çalıştırmak, zararlı yazılım indirmek ve imza tabanlı savunma sistemlerini atlatmak için msiexec.exe’den ve rundll32.exe’den faydalanmışlardır.
-Thawte ve Sectigo sertifikalarından faydalanılarak kod imzalamaları gerçekleştirilmiştir. -Hedef sistemlerde ki son kullanıcıların zararlı yazılımları çalıştırması için lures kullanılmıştır.
-Ana cihazlar üzerinde işlem yapabilmek için domain admin hesaplarından faydalanılmıştır.
-Zararlı yazılımların iletilmesi aşamasında yazılımların kriptolojiden faydalanıp şifrelenerek iletilmesi savunma sistemlerini atlatmıştır.
-Erişim sağlanan hedefte data şifreleme yöntemi kullanılarak fidye talep edilmesi. Bu işlem yapılırken kullanılan zararlı yazılımların Locky, Jaff, Bart, Philadelphia ve GlobeImposter oldukları tespit edilmiştir.

TA505 Grubunun Kullandığı Araçlar

Bart, Dridex, FlawedAmmy, FlawedGrace, GlobeImposter, Jaff, Kegotip, Locky, LOLBins, Necurs, Neutrino, Philadelphia, RockLoader, RMS, ServHelper, Shifu ve The Trick...

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog