Çinli Korsanların Silent Skimmer Saldırıları
Siber güvenlik alanında son zamanlarda tespit edilen ve devam eden bir tehdit, Çinli siber suç grubu tarafından yürütülen ” Silent Skimmer ” adlı ödeme kartı kopyalama kampanyasıdır. Bu kampanya, finansal verilerin çalınması amacıyla hedeflenen Asya-Pasifik (APAC) ve Kuzey Amerika ve Latin Amerika (NALA) bölgelerindeki çevrimiçi ödeme işletmelerini hedef almaktadır. İşte bu kampanyanın ayrıntıları ve siber suç grubunun kullanmış olduğu taktikler, teknikler :
Kampanyanın Süresi ve Coğrafi Yaygınlığı
Silent Skimmer kampanyası, yaklaşık bir yıldır aktif bir şekilde devam etmektedir ve hala sürmektedir. Başlangıçta APAC bölgesindeki şirketlere yönelikti, ancak Ekim 2022’den itibaren Kuzey Amerika, özellikle Kanada da dahil olmak üzere genişletildi.
Blackberry araştırmacıları, Mayıs 2023’ten itibaren saldırılarında ani bir artış yaşandığını belirtmektedirler.
Saldırganın Güçlü Yönleri ve İlk Erişim Yöntemleri
Saldırgan, APAC bölgesinden olduğu düşünülen Çinli bir aktör olarak tanımlanmaktadır ve Çince bilme yeteneği olduğu tespit edilmiştir. Kampanya finansal kazanç odaklıdır ve saldırgan, ilk erişim için bilinen güvenlik açıklarından ve tehlikeye atılmış web sunucularından yararlanmaktadır.
Ödeme Kartı Bilgilerinin Çalınması
Silent Skimmer kampanyasının ana hedefi, çevrimiçi alıcıların kredi kartı numaraları ve fatura bilgilerini çalmak için web uygulamalarının ve sitelerinin ödeme sayfalarına erişmektir. Saldırganlar, kötü amaçlı yazılım (web skimmer) dağıtmak için web sitelerine virüslü içerikler eklemektedirler.
Çalınan veriler, Cloudflare aracılığıyla sızdırılmaktadır. Bu, saldırganların izini gizlemek ve verileri güvence altına almak için kullanılan bir yöntemdir.
Kullanılan Teknikler ve Araçlar
Saldırganlar, TTP’lerini barındıran bir HTTP Dosya Sunucusunu kontrol etmektedirler. Bu sunucu, geçici bir sanal özel sunucu (VPS) üzerine kurulmuş ve saldırganın konumuyla aynı hizada bulunmaktadır.
Saldırganlar, hedef sistemlerde kodun uzaktan yürütülmesine olanak tanıyan bir güvenlik açığı olan CVE-2019-18935’i kullanmaktadır. Ayrıca, ASP.NET AJAX için Progress Telerik kullanıcı arayüzünde tespit edilen bu açığı kullanmaktadırlar.
Saldırganlar, uzaktan erişim aracı (RAT) olarak kullanılan bir PowerShell betiği dağıtmak için kodu uzak bir konumdan çalıştırmaktadır. Bu RAT, bir dizi işlevi gerçekleştirmek için kullanılır, bunlar arasında sistem bilgilerini toplama, dosyaları arama/indirme/yükleme, veritabanlarına bağlanma vb. bulunmaktadır.
Hedefler ve Saldırganın Yetenekleri
Silent Skimmer kampanyası, farklı sektörlerden ve kuruluşlardan hedefleri kapsamaktadır. Saldırganlar, GitHub kullanıcısı ihoney tarafından geliştirilen araçları kullanmaktadırlar. Araştırmacılar, saldırganın teknik olarak yetenekli olduğunu ve muhtemelen Magecart hackleme grupları kadar yetenekli olduğunu belirtmektedirler.
Saldırı Yöntemlerinin Gizlenmesi
Saldırganlar, C2 altyapısını kurbanların coğrafi konumuna göre yeniden ayarlamaktadır. Ayrıca, yeni hedefler için VPS’yi C2 sunucuları olarak kullanmaktadırlar. Her C2 sunucusu, tespit edilmekten kaçınmak için bir haftadan daha kısa bir süre çevrimiçi kalmaktadır.
Sonuç olarak, Silent Skimmer kampanyası, finansal verilerin çalınması amacıyla APAC ve NALA bölgelerindeki ödeme işletmelerini hedef almaktadır. Saldırganlar, gelişmiş teknikler ve araçlar kullanarak izlerini gizlemekte ve çalınan verileri güvence altına almaktadırlar. Bu kampanya, siber güvenlik uzmanlarının ve ödeme işletmelerinin dikkatini çeken bir tehdittir ve daha fazla önlem almayı gerektirebilir.