Çin’de önemli bir varlığı bulunan büyük bir ABD kuruluşunun, Nisan’dan Ağustos 2024’e kadar ağlarında varlığını sürdüren Çin merkezli tehdit aktörleri tarafından ihlal edildiği bildirildi.
Symantec’in tehdit araştırmacılarına göre, operasyonun, güvenliği ihlal edilmiş birden fazla makineyi içeren ve muhtemelen e-posta ve veri sızdırma amacıyla Exchange Sunucularını hedef alan istihbarat toplamaya odaklandığı görülüyor.
Araştırmacılar, ihlal edilen ABD kuruluşunun adını açıkça vermedi ancak aynı kuruluşun 2023 yılında Çin merkezli ‘Daggerfly’ tehdit grubu tarafından hedef alındığını belirtti.
Saldırı zaman çizelgesi
İzinsiz giriş daha önce başlamış olsa da Symantec’in olayla ilgili görünürlüğü, şüpheli Windows Yönetim Araçları (WMI) komutlarının ve kayıt defteri dökümlerinin yürütüldüğü 11 Nisan 2024’te başladı.
İlk bulaşma vektörü bilinmiyor ancak Symantec, ‘Kerberoasting’ olarak bilinen bir teknik olan hizmet sorumlusu adları (SPN’ler) ve Kerberos belirteçleri için Active Directory’yi sorgulamak üzere PowerShell yürütmesini gözlemleyebildi.
2 Haziran’da tehdit aktörleri ikinci bir makineye geçtiler ve daha sonra PowerShell, WinRAR ve bir PSCP istemcisi tarafından kolaylaştırılan, muhtemelen veri sızıntısı için yeniden adlandırılan FileZilla bileşenini (putty.exe) kullandılar.
Tehdit aktörleri bu makinede kalıcılık sağlamak için ‘ibnettle-6.dll’ ve ‘textinputhost.dat’ dosyalarını kullandı. Bu dosyalar daha önce (Sophos ve RecordedFuture tarafından) Çinli tehdit grubu ‘Crimson Palace’ tarafından gerçekleştirilen saldırılarda görüldü.
Aynı sıralarda saldırganlar, kayıt defteri manipülasyonu yoluyla kalıcılığı sağladıkları ve gözetleme ve yatay hareket için kullandıkları iki makineye daha virüs bulaştırdı.
Bilgisayar korsanları, oturum açma ve hesap kilitleme işlemleri için Windows Olay Günlüklerini sorgulamak için WMI’yı, 135 numaralı bağlantı noktasındaki RPC ve 3389 numaralı bağlantı noktasındaki PDR gibi ağ bağlantılarını test etmek için PowerShell’i ve Exchange sunucuları da dahil olmak üzere etki alanı gruplarını sorgulamak için PsExec’i kullandı.
Son olarak, 13 Haziran’da, saldırganların yük yürütmesi için kötü amaçlı bir DLL’yi (‘CoreFoundation.dll’) dışarıdan yüklemek üzere ‘iTunesHelper.exe’yi başlattığı organizasyondaki beşinci makinenin güvenliği ihlal edildi.
Saldırının ilginç bir yönü, bilgisayar korsanlarının ihlal edilen makinelerin her birine farklı roller ataması ve ısrar etmelerine ve sistematik olarak istihbarat toplamalarına olanak tanıyan yapılandırılmış bir yaklaşım izlemeleridir.
Hedeflenen kuruluşa ve dosyalara karşı önceki faaliyetlere dayanan ilişkilendirme zayıf.
Ancak Symantec ayrıca PsExec, PowerShell, WMI gibi “toprakla geçinme” araçlarının ve FileZilla, Impacket ve PuTTY SSH gibi açık kaynaklı araçların yaygın kullanımının Çin hacker taktikleriyle uyumlu olduğunu da belirtiyor.