Siber güvenlik araştırmacıları, kimliği belirsiz bir tehdit aktörünün Active Directory (AD) ortamını haritalamak için yapay zeka tarafından oluşturulduğu düşünülen bir PowerShell betiği kullandığı bir saldırıyı gün yüzüne çıkardı. Huntress araştırmacıları Jevon Ang ve Dray Agha, bu betiğin Domain Controller'ı bularak kullanıcıları, bilgisayarları ve alanları haritaladığını, ardından bir dizin oluşturup dosyaları dışa aktardığını ve başarıyı ölçmek için AD_Report.html adlı bir rapor oluşturduğunu belirtti. Saldırı zinciri, tehdit aktörünün önceden ele geçirilmiş kimlik bilgileriyle bir Windows Sunucusuna Uzak Masaüstü Protokolü (RDP) erişimi sağlaması ve ardından araçları 'C:\ProgramData\' klasörüne yerleştirmesiyle başladı. Olay, 2025 Haziran ayının başlarında meydana geldi.
Huntress araştırmacıları, özel olarak hazırlanmış PowerShell betiğinin yapay zeka tarafından oluşturulduğunu gösteren çeşitli işaretler tespit etti. Bunlar arasında komut istemi yineleme başlığı, yer tutucu dizeleri, Domain Controller'ı bulmak için birden fazla yöntem içeren aşırı mühendislik ürünü kod ve cyan, yeşil, kırmızı ve sarı renklerle süslenmiş konsol çıktısı yer alıyor. Betik, '100% Working AD Information Gathering Script - FULLY FIXED' başlığını taşıyor ve bir büyük dil modeliyle (LLM) sürekli etkileşim içinde geliştirildiğini ima ediyor. Araştırmacılar, bu betiği 'oldukça agresif' ve 'gürültülü' olarak tanımlarken, keşif ve tespit faaliyetlerini kolaylaştırmak için 'beş adımlı kademeli yedekleme mekanizması' kullandığını belirtti.
Saldırının ilk aşamasında, ana Domain Controller bulunduktan sonra, betik sistematik bir veri toplama rutini başlatarak AD kullanıcılarını, bilgisayarlarını, gruplarını, organizasyon birimlerini (OU) ve güven ilişkilerini topluyor ve bunları geçici bir dizinde saklıyor. Yaklaşık 30 dakika sonra saldırgan, toplu dosya işlemleri için kullanılan meşru bir araç olan s5cmd ve C# tabanlı bir ağ paylaşımı numaralandırma aracı olan SharpShares'ı devreye sokarak kullanıcı tarafından erişilebilir veri depolarını arıyor. Son aşamada, toplanan veriler CSV dosyalarına dönüştürülüyor, arşivleniyor ve bir Active Directory Envanter Raporu şeklinde özetleyen bir HTML dosyası oluşturulduktan sonra uzak bir sunucuya sızdırılıyor.
Huntress araştırmacıları, HTML raporu oluşturma özelliğinin büyük olasılıkla LLM tarafından 'yardımsever' bir ekleme olduğunu ve saldırganın bunu bilinçli olarak betiğe eklemek yerine kullanmaya karar verdiğini belirtti. Bu gelişme, tehdit aktörlerinin AI modellerinin yardımıyla üretilen 'vibe-coded' kötü amaçlı yazılımlarla araç setlerini genişlettiğinin bir başka işareti. Teknoloji daha önce görülmemiş şekillerde kötüye kullanılmasa da, siber suçlara giriş engelini düşürerek daha az yetenekli aktörlerin bile minimum çabayla son derece yetenekli ve kaçamak araçlar geliştirmesine olanak tanıyor.
Huntress, 'Saldırı zinciri hala yıllardır gördüğümüz denenmiş ve test edilmiş 'kap ve kaç' oyun kitabına benziyor. Bu temel metodoloji tutarlı kaldı, ancak şimdi seçici olarak AI tarafından güçlendiriliyor. Bu hibrit yaklaşım, gizlilikten ziyade saldırganlık ve hıza öncelik vererek tehdit aktörlerinin daha önce hiç olmadığı kadar hızlı bir şekilde yüksek hasarlı kampanyalar yürütmesine olanak tanıyor' dedi. Bu durum, AI'nın bir güç çarpanı olarak hareket ettiğini ve savunucuların başa çıkabileceğinden daha hızlı ve büyük ölçekli siber saldırıların düzenlenebileceğini gösteriyor.
Sistem Güvenliği
Geçtiğimiz hafta yayınlanan bir raporda Sygnia, AI destekli saldırganların mutlaka yeni kötü amaçlı yazılımlara veya sıfırıncı gün açıklarına ihtiyaç duymadığını, asıl değişimin siber saldırıların savunucuların kontrol edebileceğinden daha hızlı ve büyük ölçekte gerçekleştirilebilmesi olduğunu ortaya koydu. Olay müdahale şirketi, büyük bir AWS tabanlı ortamda, ilk erişimden geniş çaplı ihlale kadar yaklaşık 72 saat içinde ilerleyen AI destekli bir bulut saldırısı gözlemledi. Saldırının nihai hedefinin finansal olduğu ve saldırganın kurbanın bulut altyapısına erişimi fidye için kullandığı değerlendiriliyor.
Sygnia, 'Tehdit aktörü, yeni elde edilen kimlik bilgilerini tekrar tekrar kullanarak keşif, sır toplama, kalıcılık ve etki faaliyetlerini yeniden başlattı. Saldırı, yeni kötü amaçlı yazılımlar veya sıfırıncı gün açıkları yerine tanıdık bulut tekniklerine dayanıyordu. Saldırgan tek bir yanlış yapılandırmayı değil, uygulama hizmetleri, AWS kaynakları, kaynak kontrol havuzları, CI/CD iş akışları, çalışma zamanı bileşenleri ve veri depoları arasındaki zayıflıkları zincirleme olarak kullanırken hızlı bir şekilde kimlik bilgisi keşfi, sır toplama, bulut numaralandırma, dağıtım hattı istismarı, çalışma zamanı değişikliği, veritabanı erişimi ve operasyonel kesinti gerçekleştirdi' dedi.
Sonuç ve Değerlendirme
Sygnia'ya göre saldırgan, ele geçirilen ana bilgisayarlarda kalıcılık sağlamak için tekrarlanan girişimlerde bulundu ve internet üzerinden erişilebilen bir uygulamadaki zayıflıklar yoluyla AWS hesaplarından birine erişim anahtarı elde etti. Her yeni erişim, yenilenen numaralandırma, ek sır toplama, erişim anahtarları ve IAM kullanıcıları oluşturarak kalıcılık girişimleri ve veri sızdırma ile sonuçlandı. Aynı zamanda, saldırgan tarafından oluşturulan birçok eser, sızma testi veya kırmızı takım çalışması olarak gizlendi. Saldırgan, kurbanlar üzerinde daha fazla baskı oluşturmak için S3 bucket'larına erişimi engelleme, ECS hizmetlerini veya kapsayıcılarını sıfır kapasiteyle sınırlama, ACL kuralları oluşturarak ağ erişimini engelleme ve SQS kuyruklarını temizleme gibi bir dizi eylem gerçekleştirdi.
Kaynak: thehackernews.com