CYFIRMA kısa süre önce Hindistan’ın Keşmir kentinde yaşayan bir kişiye yönelik bir siber saldırı tespit etti ve kurbanın mobil indirme klasöründen iki kötü amaçlı yazılım parçası ele geçirdi.
Bu örneklerin araştırılması, son siber saldırıyı bölgede uzun süredir faaliyet gösteren DoNot APT ile ilişkilendiriyor.
Görünüşe göre siber saldırının faili, kurbanın mobil cihazına kötü amaçlı yazılım dağıtmak için üçüncü taraf dosya paylaşım web sitelerinden yararlandı.
Bu nedenle, indirilen dosyalar kurbanın cihazının ana indirme klasörüne kaydedilir. Saldırganın dosya paylaşım web sitesini kötü amaçlı yazılımı dağıtmak için oluşturmuş olması mümkün olabilir.
İlginç bir şekilde, kötü amaçlı yazılım örnekleri, şu adlı sohbet uygulamaları olarak gizlendi: –
- On Messenger.apk
- Sohbet Bağlantısı QQ.apk
Bu tehdit aktörü, aktif olduğunun ilk tespit edildiği 2016 yılından bu yana Güney Asya bölgesinde siber saldırılar gerçekleştiriyor.
Dış tehdit ortamı yönetimi
Önceki kampanyanın Android örnekleri, Base64 algoritmasını kullanan şifrelenmiş dizelere sahipti.
Ekip, önceki kampanya örneklerinden farklı olarak, mevcut örnekteki dizelerin CBC modu ve PKCS dolgusu ile iki şifreleme katmanına sahip olduğunu keşfetti:-
Pro Guard kullanılarak gizlendiği ve korunduğu için kodu anlamak zordu.
Göre CYFIRMA saldırının teknik analiz raporu paylaşıldı GBHacker’lardaha önce bu bölgedeki varlıkları hedefledikleri için DoNot APT’nin işleyiş biçimiyle uyumludur.
Tehdit aktörü, geçmişte çeşitli sektörlerdeki ve konumlardaki rakiplerine karşı hedef odaklı kimlik avı taktikleri kullandı. Ancak, son saldırının ardındaki amacın ne olduğu belli değil.
DoNot APT’nin Keşmir’de bir bireye yönelik son saldırısı, tehdit istihbaratı topluluğunu şaşırtmadı.
Bu grup geçmişte aşağıdaki bölgelerdeki STK’ları ve diğer kuruluşları defalarca hedef aldığı için:-
- Keşmir
- Hindistan
- Bangladeş
- Pakistan
Tehdit aktörünün, bir sosyal mühendislik saldırısı başlatmak ve kötü amaçlı uygulamayı teslim etmek için WhatsApp gibi popüler mesajlaşma uygulamalarını kullanmış olması mümkündür.
Diğer mesajlaşma uygulamalarının aksine, WhatsApp ekleri indirme klasörüne kaydetmez, bunun yerine WhatsApp medya konumuna kaydedilir.
Teknik Analiz
Android Kötü Amaçlı Yazılım Örneği yüklenir yüklenmez kurbandan uygulamayı açması istenecektir.
Kurban uygulamayı açtıktan sonra, kurban uygulamayı etkinleştirene kadar uygulamayı her açtıklarında tekrarlanan bir uyarı aracılığıyla erişilebilirlik hizmetini etkinleştirmelerini ister.
Kurban “Tamam”ı tıkladığında, uygulama onları Erişilebilirlik ayarları sayfasına yönlendirir ve “Sohbeti Bağla”yı açarak Erişilebilirliği etkinleştirmelerini ister.
Uygulama daha sonra kendisini ana menüden gizler ve kurbanın onu kaldırma yeteneğini sınırlar.
Kötü amaçlı uygulamanın Android Manifest dosyası, çeşitli izinler alma girişimini gösteren bir snippet içerir.
Bunu yaparak uygulama, kurbanın cihazına ve gizliliğine zarar vererek kötü amaçlı faaliyetler yürütebilir.
Aşağıda, istediği tüm izinlerden bahsettik: –
- READ_CALL_LOG: Bu, aktörlerin arama günlüklerini okumasını ve getirmesini sağlar.
- READ_CONTACTS: Bu izin, TA’nın kişileri okumasına ve getirmesine izin verir.
- READ_SMS: Bu izin, tehdit aktörünün kurbanın aldığı ve gönderdiği SMS’leri okumasını sağlar.
- READ_EXTERNAL_STORAGE: Bu, tehdit aktörlerinin dosya yöneticisinden veri keşfetmesine ve almasına olanak tanır.
- WRITE_EXTERNAL_STORAGE: Bu, tehdit aktörlerinin dosyaları silmesine ve taşımasına izin verir.
- DEPOLAMA: Bu, dosyaları görüntülemek ve bunlara erişmek için mobil dahili depolamaya erişim sağlar.
- ACCESS_FINE_LOCATION: Tehdit aktörünün kesin konumları almasına ve cep telefonlarının canlı hareketini izlemesine izin verir.
- WRITE_CALL_LOG: Bu, tehdit aktörünün arama günlüklerinden numaraları silmesine izin verir.
- GET_ACCOUNTS: Bu, tehdit aktörünün çeşitli internet platformlarında oturum açmak için kullanılan e-postaları ve kullanıcı adlarını almasına olanak tanır.
Dizinin şifresini çözmek için playstore’un[.]xyz etki alanı söz konusudur.
Şüpheli IOC, bir yaşında olmasına ek olarak, kötü şöhretli Do Not APT grubunun bir parçasıdır.
Dize, gizli bir anahtar kullanılarak bir sınıf tarafından şifrelenir ve şifresi çözülür. Ele geçirilen kurbanların giden ve gelen aramalarının izlenmesi aşağıdaki izinler kullanılarak gerçekleştirilir:-
- android.intent.action.NEW_OUTGOING_CALL
- android.intent.extra.PHONE_NUMBER
Güvenlik uzmanları tarafından yapılan incelemede farklı isimle yeni bir örnek keşfedildi.
Ancak, komut ve kontrol alanı dışında, mevcut örnekte kullanılan kod, daha önce analiz ettikleri kodla aynıdır.
Saldırganlar, nispeten basit saldırı yöntemleri kullanarak sürekli olarak Keşmir’deki bireylere odaklanıyor.
Bunun dışında tehdit aktörlerinin son iki yıldır aynı TTP’leri kullandıkları gözlemleniyor ve bu da saldırılarında bir inovasyon eksikliğine işaret ediyor.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin
Ayrıca Oku:
Winnti APT Hacker’ları Yeni Kötü Amaçlı Yazılım “Mélofée” İle Linux Sunucularına Saldırıyor
Bilgisayar Korsanları, CircleCI Çalışanının Dizüstü Bilgisayarını Şirketin Sistemlerini İhlal Etmek İçin Ele Geçirdi
Kuzey Koreli APT37 Bilgisayar Korsanları, IE Zero-Day Güvenlik Açığı’ndan Uzaktan Yararlandı
ABD Federal Ağı Hacklendi – İran APT Hackerları Etki Alanı Denetleyicisini Ele Geçirdi