APT36, Güney Asya’da hedefli casusluk faaliyetleri yürütmesiyle tanınan ve Pakistan ile güçlü bağları olan, son derece gelişmiş bir APT (Gelişmiş Kalıcı Tehdit) grubudur.
Bu APT grubunun aşağıdaki Hint sektörlerini hedeflemesiyle bilinmesine rağmen: –
- Devlet
- Savunma
- Eğitim
Bu APT grubu 2013’ten beri aktiftir ve siber casusluk yürütmek için aşağıdaki yöntemleri kullanır: –
Aşağıda APT36 tarafından kullanılan kaynaklardan bahsettik: –
- Windows’u hedefleyen özel oluşturulmuş uzaktan yönetim araçları
- Windows ve Linux’u hedef alan, belirli amaçlara hizmet eden, Python tarafından derlenmiş hafif siber casusluk araçları
- Mythic gibi silahlı açık kaynaklı C2 çerçeveleri
- KAVACH çok faktörlü kimlik doğrulama gibi Hindistan hükümeti uygulamalarının truva atı haline getirilmiş yükleyicileri
- Truva Atı olan Android uygulamaları
- Hint hükümet yetkililerini hedef alan kimlik avı siteleri
Zscaler analistleri, gözlemlenen C2 komutlarındaki benzersiz dizeler nedeniyle APT36 tarafından kullanılan Windows arka kapısına ‘ElizaRAT’ adını verdi.
APT36 Özelleştirilmiş Kötü Amaçlı Yazılım Kullanma
Parola korumalı Google Drive arşivlerinde .NET ikili dosyaları olarak sunulan ElizaRAT, bir Denetim Masası uygulaması olarak dağıtılır ve MainAsync()’de kötü amaçlı işlemlere yol açan CplApplet() ve Main() işlevlerini başlatır.
Virüs bulaşan her makine, işlemci kimliğini ve UUID’yi hem UUID hem de kullanıcı adı olarak hizmet veren bir ‘.cookie’ uzantısıyla birleştirerek benzersiz bir tanımlayıcı alır.
Aşağıda desteklenen tüm C2 komutlarından bahsettik: –
- /dir
- /yüklemek
- /getprocess
- /koşmak
- /silmek
- /son
- /çevrimiçi
- /kimlik
- /ping
- /scr
- /oluşturmadir
Bot, Başlangıç dizininde kalıcılığı sağlamak için bir Windows kısayolu (LNK) oluşturur. Kendisini ‘Windows için Metin Düzenleme Uygulaması’ olarak gizler ve Denetim Masası uygulamasını rundll32 aracılığıyla çalıştırır.
Program sınıfının dosome() yöntemi, kullanıcıyı bir hata oluştuğunu düşünmeye sevk etmek üzere yanıltmak için tasarlanmış, .NET ikili dosyasının kaynaklarından bir dikkat dağıtma yemi PDF’si görüntüler.
APT36’nın nadir saldırılarda Linux masaüstü giriş dosyalarını benzersiz şekilde kullanması bir ilk; Mayıs 2023’teki başlangıcından bu yana Hindistan hükümetine karşı bir kimlik avı planında kullanılan, tespit edilemeyen üç örnek bulunuyor.
Linux ve WSL makineleri için tasarlanan ve eksiksiz bir C2 mekanizmasından yoksun olan platformlar arası Linux yükü, tehdit aktörü tarafından geliştirme aşamasında bir ilk test yapılmasını öneriyor.
PDF, Suudi delegasyonunun Hintli askeri sağlık görevlileriyle yaptığı görüşmenin ayrıntılarını içeren Hindistan Savunma Bakanlığı belgesini taklit ediyor.
Python Tabanlı Siber Casusluk Araçları
APT36, Hindistan hükümetini, Windows ve Linux sistemlerini hedef alarak siber casusluk için Python tabanlı ELF ikili dosyalarını kullanıyor. Aşağıda, tüm yeni Python tabanlı siber casusluk araçlarından bahsettik: –
Üstelik zararlı Google Drive bağlantıları aracılığıyla dağıtılan ElizaRAT, araştırmacıların Drive’ın sahibi ve bağlantılı e-posta hakkında veri çıkarmasına olanak tanıdı.
IOC’ler
Bizi Google Haberler ve Linkedin’den takip ederek en son siber güvenlik haberlerinden haberdar olun. heyecanve Facebook.