Son aylarda, siber güvenlik araştırmacıları, saldırı altyapılarını maskelemek için ticari vekil ve VPN hizmetlerinden yararlanan sofistike bir Çin APT grubu tarafından hedeflenen kampanyalarda bir artış gözlemlediler.
Bu taktiğin ortaya çıkışı, tehdit aktör trafiğini meşru kullanıcı etkinliği ile harmanlayan meta anonimleştirme platformlarına doğru daha geniş bir kaymaya denk geliyor.
İlk uzlaşma vektörleri, şüpheli olmayan kurbanları yük ev sahibi alanlara yönlendiren kötü amaçlı ofis belgeleri ve su birikintisi saldırıları içeren mızrak aktı e-postalarını içeriyordu.
Bir taban kurulduktan sonra, tehdit oyuncusu standart HTTPS trafiğini taklit etmek için tasarlanmış hafif bir Truva Proxy ajanı kullanır.
Bu ajan, ağ filtrelemesini ve Çin’in büyük güvenlik duvarını atlamak için Truva Protokolünü kullanır ve görünüşte zararsız TLS paketleri içinde komuta ve kontrol iletişimini kapsar.
Spur analistleri, joker karakter SSL sertifikasının sık kullanıldığını kaydetti (*.Appletls[.]Com, SHA1: A26C0E8B1491EDA727FD88B629CE888666387ef5) 4000-4099 aralığında standart olmayan bağlantı noktalarında, birden fazla küresel veri merkezine dağılmış 1000’den fazla kötü niyetli IP adresinin hızlı ilişkilendirilmesini sağlar.
Bu kampanyaların etkisi önemli olmuştur. Güney Kore ve Tayvan’daki yüksek değerli hedefler, tescilli belgelerin ve fikri mülkiyetin pessfiltrasyonunun tespit edilmediği haftaları kapsayan kalıcı müdahaleler bildirmiştir.
Spur araştırmacıları, kurban ağlarının yeterli TLS denetiminden yoksun olduğunu ve Truva Proxy’nin trafiğinin geleneksel saldırı tespit sistemlerinden geçmesine izin verdiğini belirledi.
Kontomuz sonrası yanal hareket, kimlik bilgisi hasatını otomatikleştirmek ve uzaktan yürütmeyi kolaylaştırmak için genellikle Sysinternals Psexec ve Custom PowerShell komut dosyalarını kaldırdı.
Açıklayıcı bir durumda, Taipei’deki bir finans şirketi 45 gün boyunca devam eden gizli bir ihlal yaşadı.
Rakipler, merkezi Shenzhen’de bulunan ticari bir VPN sağlayıcısı olan WgetCloud aracılığıyla bir proxy şerbetçiotu zinciri aracılığıyla eksfiltrasyon başlatmadan önce kurumsal ağı sistematik olarak eşleştirdiler.
.webp)
Saldırganlar bir düzineden fazla VPN çıkış düğümü aracılığıyla çalınan verileri huni yaparak, kaynaklarını etkili bir şekilde gizlediler ve adli araştırmaları engellediler.
Enfeksiyon Mekanizması: Trojan Proxy Dağıtım
İlk yük, denklem düzenleyicisinde sıfır gün RCE güvenlik açığı olan CVE-2025-1234’ten yararlanan bir Microsoft Word belgesi olarak gelir. Belge Açık üzerine bir makro düşer trojan.exe içine %APPDATA%\Microsoft\Windows ve kalıcılık için “Windefenderupdate” adlı planlanmış bir görevi kaydeder.
Yürütülebilir ürün, Truva Protokolü İstemci Kütüphanesi’ni yerleştiren statik olarak bağlantılı bir Go ikilidir.
# Dropping Trojan proxy binary
$payload = [IO.File]::ReadAllBytes("$env:TEMP\macro.bin")
[IO.File]::WriteAllBytes("$env:APPDATA\Microsoft\Windows\trojan.exe", $payload)
# Registering persistence
schtasks /Create /SC MINUTE /MO 15 /TN "WinDefenderUpdate" /TR "`"$env:APPDATA\Microsoft\Windows\trojan.exe`" --config config.json"İnfaz üzerine, trojan.exe okuma config.jsonWgetCloud’dan Base64 kodlu bir abonelik URL’si içerir.
.webp)
Proxy ajanı, SNI “mf429xciejryees2cusm.appletls.com” kullanan bir TLS el sıkışma müzakere eder ve C2 trafiğini VPN sağlayıcının çıkış düğümleri aracılığıyla yönlendirir.
.webp)
Kötü amaçlı yazılım, meşru proxy VPN tünellerine yerleştirerek, sağlam algılama kaçakçılığını elde eder ve atıf çabalarını karmaşıklaştırır.
Anormal planlanan görevler ve olağandışı TLS sertifikaları için sürekli izleme, bu gelişmiş müdahaleleri ortaya çıkarmak için kritik öneme sahiptir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.