Symantec Threat Labs’deki siber güvenlik araştırmacıları kısa bir süre önce APT bilgisayar korsanlığı grubunun 2018’den beri Güney ve Güneydoğu Asya’da aşağıdaki sektörlere hassas ve uzun süreli saldırılar gerçekleştirmek için özel ‘Merdoor’ arka kapı kötü amaçlı yazılımını kullandığını keşfetti:-
- Devlet
- Havacılık
- Telekomünikasyon
Bunun dışında, 2018’den beri Lancefly, Merdoor arka kapı kötü amaçlı yazılımını belirli saldırılarda kullanıyor.
Symantec araştırmacıları, bu arka kapı kötü amaçlı yazılımın, birincil amacı casusluk yapmak ve istihbarat raporları toplamak olan 2020’den 2023’ün ilk çeyreğine kadar uzanan çok sayıda kampanyada kullanıldığını gözlemledi.
Lancefly APT Hacker’ları Saldırı Zinciri
Symantec, Lancefly tarafından kullanılan kesin ilk bulaşma yöntemini belirlememiş olsa da kanıtlar, grubun yetkisiz erişim elde etmek için kimlik avı e-postaları, SSH kimlik bilgisi kaba zorlama ve halka açık sunuculardaki güvenlik açıklarından yararlanma gibi teknikleri kullandığını gösteriyor.
Saldırganlar, “perfhost.exe” veya “svchost.exe” gibi yasal Windows işlemlerine DLL yandan yükleme yoluyla Merdoor arka kapısını enjekte ederek, kötü amaçlı yazılımın hedef sistemde bir dayanak kazandığında tespitten kaçmasına yardımcı olur.
Merdoor damlalığı üç dosya içerir ve kendi kendine açılan bir RAR’dır (SFX):-
- DLL arama sırasını ele geçirmeye karşı savunmasız, meşru ve imzalanmış bir ikili dosya
- Kötü amaçlı yükleyici (Merdoor yükleyici)
- Nihai yükü (Merdoor arka kapı) içeren şifrelenmiş bir dosya (.pak)
Merdoor damlatıcısı çalıştırıldığında gömülü dosyaları ayıklar ve Merdoor yükleyiciyi yüklemek için DLL yandan yüklemeyi kolaylaştırmak için beş meşru uygulamanın eski sürümlerinden yararlanır.
Kendini yeniden başlatmalar arasında devam eden bir hizmet olarak kurduktan sonra, Merdoor arka kapısı desteklenen birkaç protokol aracılığıyla C2 sunucusuyla iletişim kurar. Lancefly’ın kurbanın sistemine erişimi ve bir dayanağı sürdürmesini sağlayan diğer talimatları bekliyor.
Aşağıda, desteklenen tüm iletişim protokollerinden bahsetmiştik:-
Merdoor, potansiyel olarak yararlı bilgileri toplamak için yerel bağlantı noktaları aracılığıyla komutlar alabilen ve tuş vuruşlarını kaydeden bir arka kapı işlevi görür.
Lancefly, SMB aracılığıyla uzak sistemlerde planlanmış görevleri hızlı bir şekilde yürütmek için Impacket’in ‘Atexec’ özelliğini kullanır. Aynı zamanda, bunu ağ üzerinden yaymak veya önceki komutlar tarafından oluşturulan çıktı dosyalarını ortadan kaldırmak için bir araç olarak yapar.
Saldırganlar, bellek boşaltma, kayıt defteri kovanlarını çalma ve gizlenmiş bir WinRAR aracıyla dosyaları şifreleme, ardından kimlik bilgilerini çalmak ve hassas verileri ayıklamak için Merdoor’u kullanarak olası bir hırsızlığı kullanır.
Saldırı Zinciri Araçları ve TTP’ler
Aşağıda, tüm saldırı zinciri araçlarından ve TTP’lerden bahsettik: –
- Darbe Atexec
- Şüpheli SMB etkinliği
- WinRAR
- LSSAS Damper
- NBTS taraması
- kara yükleyici
- Yükleyici
ZXShell Rootkit’i
Lancefly saldırıları, uyarlanmış yüklerin konuşlandırılmasını, kabuk kodunun yürütülmesini, süreçlerin sonlandırılmasını ve ana bilgisayarın sistem mimarisine dayalı ek işlevleri etkinleştiren “FormDII.dll” yükleyici aracılığıyla gelişmiş yeteneklerinden yararlanan yükseltilmiş bir ZXShell rootkit içerir.
Lancefly, rootkit’in kurulum ve güncelleme yardımcı programı ile Merdoor yükleyici arasındaki ortak kodun kanıtladığı gibi, araçları için paylaşılan bir kod tabanı kullanır ve eskisi aynı zamanda şunları yapabilir:-
- Hizmet oluşturma
- Kayıt defterinin değiştirilmesi
- Algılamadan kaçınmak için yürütülebilir dosyasını sıkıştırma
Olası Bağlantılar
ZXShell rootkit, APT17 ve APT41 dahil olmak üzere birden fazla Çinli APT grubu tarafından kullanılmış olsa da, rootkit’in yıllardır halka açık olması nedeniyle Lancefly ile olan bağlantı zayıftır.
Lancefly tarafından kullanılan rootkit yükleyici adı “formdll.dll” önceki bir APT27 kampanyasında gözlemlendi, ancak bu seçimin analistlerin kafasını kasıtlı olarak karıştırıp, ilişkilendirme çabalarını engellediği belirsizliğini koruyor.
Çok sayıda Çinli APT grubu tarafından paylaşılan yaygın olarak kullanılan PlugX ve ShadowPad uzaktan erişim truva atlarının (RAT’ler) kullanımı, Lancefly’ın Çin menşeli olduğu önermesine ek destek sağlar.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin