Çinli Korsanların Silent Skimmer Saldırıları

Siber güvenlik alanında son zamanlarda tespit edilen ve devam eden bir tehdit, Çinli siber suç grubu tarafından yürütülen ” Silent Skimmer ” adlı ödeme kartı kopyalama kampanyasıdır. Bu kampanya, finansal verilerin çalınması amacıyla hedeflenen Asya-Pasifik (APAC) ve Kuzey Amerika ve Latin Amerika (NALA) bölgelerindeki çevrimiçi ödeme işletmelerini hedef almaktadır. İşte bu kampanyanın ayrıntıları ve siber suç grubunun kullanmış olduğu taktikler, teknikler :

Kampanyanın Süresi ve Coğrafi Yaygınlığı

Silent Skimmer kampanyası, yaklaşık bir yıldır aktif bir şekilde devam etmektedir ve hala sürmektedir. Başlangıçta APAC bölgesindeki şirketlere yönelikti, ancak Ekim 2022’den itibaren Kuzey Amerika, özellikle Kanada da dahil olmak üzere genişletildi.

Blackberry araştırmacıları, Mayıs 2023’ten itibaren saldırılarında ani bir artış yaşandığını belirtmektedirler.

Saldırganın Güçlü Yönleri ve İlk Erişim Yöntemleri

Saldırgan, APAC bölgesinden olduğu düşünülen Çinli bir aktör olarak tanımlanmaktadır ve Çince bilme yeteneği olduğu tespit edilmiştir. Kampanya finansal kazanç odaklıdır ve saldırgan, ilk erişim için bilinen güvenlik açıklarından ve tehlikeye atılmış web sunucularından yararlanmaktadır.

Ödeme Kartı Bilgilerinin Çalınması

Silent Skimmer kampanyasının ana hedefi, çevrimiçi alıcıların kredi kartı numaraları ve fatura bilgilerini çalmak için web uygulamalarının ve sitelerinin ödeme sayfalarına erişmektir. Saldırganlar, kötü amaçlı yazılım (web skimmer) dağıtmak için web sitelerine virüslü içerikler eklemektedirler.

Çalınan veriler, Cloudflare aracılığıyla sızdırılmaktadır. Bu, saldırganların izini gizlemek ve verileri güvence altına almak için kullanılan bir yöntemdir.

Kullanılan Teknikler ve Araçlar

Saldırganlar, TTP’lerini barındıran bir HTTP Dosya Sunucusunu kontrol etmektedirler. Bu sunucu, geçici bir sanal özel sunucu (VPS) üzerine kurulmuş ve saldırganın konumuyla aynı hizada bulunmaktadır.

Saldırganlar, hedef sistemlerde kodun uzaktan yürütülmesine olanak tanıyan bir güvenlik açığı olan CVE-2019-18935’i kullanmaktadır. Ayrıca, ASP.NET AJAX için Progress Telerik kullanıcı arayüzünde tespit edilen bu açığı kullanmaktadırlar.

Saldırganlar, uzaktan erişim aracı (RAT) olarak kullanılan bir PowerShell betiği dağıtmak için kodu uzak bir konumdan çalıştırmaktadır. Bu RAT, bir dizi işlevi gerçekleştirmek için kullanılır, bunlar arasında sistem bilgilerini toplama, dosyaları arama/indirme/yükleme, veritabanlarına bağlanma vb. bulunmaktadır.

Hedefler ve Saldırganın Yetenekleri

Silent Skimmer kampanyası, farklı sektörlerden ve kuruluşlardan hedefleri kapsamaktadır. Saldırganlar, GitHub kullanıcısı ihoney tarafından geliştirilen araçları kullanmaktadırlar. Araştırmacılar, saldırganın teknik olarak yetenekli olduğunu ve muhtemelen Magecart hackleme grupları kadar yetenekli olduğunu belirtmektedirler.

Saldırı Yöntemlerinin Gizlenmesi

Saldırganlar, C2 altyapısını kurbanların coğrafi konumuna göre yeniden ayarlamaktadır. Ayrıca, yeni hedefler için VPS’yi C2 sunucuları olarak kullanmaktadırlar. Her C2 sunucusu, tespit edilmekten kaçınmak için bir haftadan daha kısa bir süre çevrimiçi kalmaktadır.

Sonuç olarak, Silent Skimmer kampanyası, finansal verilerin çalınması amacıyla APAC ve NALA bölgelerindeki ödeme işletmelerini hedef almaktadır. Saldırganlar, gelişmiş teknikler ve araçlar kullanarak izlerini gizlemekte ve çalınan verileri güvence altına almaktadırlar. Bu kampanya, siber güvenlik uzmanlarının ve ödeme işletmelerinin dikkatini çeken bir tehdittir ve daha fazla önlem almayı gerektirebilir.