Baryum, Wicked Panda ve pirinç tayfun olarak da bilinen Çin devlet destekli tehdit oyuncusu APT41’in, Tayvanlı bir hükümet web sitesini hedefleyen son bir kampanyada Google takvimini bir komut ve kontrol (C2) mekanizması olarak kullandığı bildirildi.
En az 2012’den beri aktif olan bu sofistike grup, siber casusluğu finansal olarak motive edilmiş siber suçlarla harmanlamak, sağlık hizmetleri, telekom, yazılım ve dünya çapında devlet kuruluşları gibi sektörlere çarpmakla ünlüdür.
Yeni Komut ve Kontrol Tekniği Açıklandı
Resculity raporuna göre, en son taktikleri özel kötü amaçlı yazılım ve geleneksel olmayan C2 kanallarının bir karışımını sergiliyor ve siber güvenlik savunucuları için önemli bir zorluk oluşturuyor.
.png
)
Saldırı, kurbanları, tehlikeye atılan bir hükümet web sitesinde barındırılan kötü amaçlı bir fermuar arşivi indirmeye çeken mızrak aktı e-postalarıyla başlıyor.
İçeride, “申報物品清單 .pdf.lnk” adlı bir PDF olarak gizlenen bir Windows kısayolu (LNK) dosyası, ikisi 6.jpg ve 7.jpg kötü niyetli yükler olan birkaç görüntü dosyası eşlik eder.
%20file.webp)
Mağdur LNK dosyasını yürüttüğünde, ToughProgress olarak adlandırılan bir kötü amaçlı yazılım aracılığıyla sessizce bir enfeksiyon zinciri başlatırken bir tuzak PDF görüntüler.
Kötü amaçlı yazılım üç aşamada çalışır: PlusDrop, XOR tabanlı bir rutin kullanarak 6.jpg’yi şifresini çözer ve Rundll32.exe aracılığıyla bellekte yürütür; PlusInject, yükü kaçırma için meşru bir svchost.exe işlemine enjekte etmek için proses oyuğu kullanır; Ve ToughProgress kalıcılık oluşturur ve C2 için saldırgan kontrollü Google takvim etkinlikleri ile iletişim kurar.
Bu kurulum, şüpheli telleri önlemek için dinamik dize üretimi, özel karma ve kontrol akışı manipülasyonu gibi gelişmiş gizleme tekniklerini kullanır.
Yürütme Ayrıntıları
Ayrıca, kötü amaçlı yazılım, ntoskrnl.exe’yi hedefler, çekirdek belleğini eşleştirir ve potansiyel olarak ayrıcalık artış ve anti-forensik yeteneklere ulaşmak için sürücü benzeri kullanım kullanır, analizi ters mühendisler için olağanüstü zor hale getirir.
Bu kampanyayı ayıran şey, ToughProgress’in Google Takvimini gizli bir C2 kanalı olarak kullanmasıdır.
Kötü amaçlı yazılım, bilgileri eklemek ve saldırganlardan gelen komutları almak için 2023 yılına dayanan takvim olay açıklamalarına şifrelenmiş verileri yerleştirir.
Yürütülen komutların sonuçları, gizli, sürekli iletişim sağlayarak yeni etkinliklere yüklenir.
Bu yeni yaklaşım, geleneksel ağ tabanlı algılama mekanizmalarını atlayarak kötü niyetli amaçlar için güvenilir bir platformdan yararlanır.
Yanıt olarak Google, kötü amaçlı takvim örneklerini tanımlamak ve devre dışı bırakmak için özel algılama parmak izleri uyguladı, güvenli tarama blok listelerine zararlı alanlar ekledi ve tehdidi engellemek için ilişkili çalışma alanı projelerini indirdi.
APT41’in taktikleri, Spearphishing (T1566.001), proses enjeksiyonu (T1055.012) ve C2 kanalları (T1041) dahil olmak üzere çoklu miter ATT & CK tekniklerine eşleşir, statecraft ile birlikte hibrit bir tehdit oyuncusu olarak çok yönlülük ve tehlikeleri vurgular.
Uzlaşma Göstergeleri (IOCS)
| Dosya adı | Sha256 karma | MD5 karma |
|---|---|---|
| Gümrük Deklarasyon Çıkış Listesi.ZIP | 46b534bec827be03c0823e72e7b4da0b84f53199040705da203986ef154406a | 876FB1B0275A653C4210AAF01C2698EC |
| Öğe Listesi.PDF.LNK | 2 | 65da1a9026cf171a5a779bc5ee45fb1 |
| 6.jpg | 50124174A4AC0D65BFFF8B6FD66F53829D1589EDC73AA7CF36502E57AA5513660 | 1ca60e207edb211c8b956ef35043b6 |
| 7.jpg | 151257E9DFDA476CDAFD98326AD325104D72A66F9265CAA8417A5FE1DF5D7 | 2EC4EEABB8F6C2970DCBFFDCDBD60E3 |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun