APT41 Hackerlar, Devlet Kuruluşlarına yönelik saldırılarda kötü amaçlı yazılım C2 için Google Takviminden yararlanıyor


Baryum, Wicked Panda ve pirinç tayfun olarak da bilinen Çin devlet destekli tehdit oyuncusu APT41’in, Tayvanlı bir hükümet web sitesini hedefleyen son bir kampanyada Google takvimini bir komut ve kontrol (C2) mekanizması olarak kullandığı bildirildi.

En az 2012’den beri aktif olan bu sofistike grup, siber casusluğu finansal olarak motive edilmiş siber suçlarla harmanlamak, sağlık hizmetleri, telekom, yazılım ve dünya çapında devlet kuruluşları gibi sektörlere çarpmakla ünlüdür.

Yeni Komut ve Kontrol Tekniği Açıklandı

Resculity raporuna göre, en son taktikleri özel kötü amaçlı yazılım ve geleneksel olmayan C2 kanallarının bir karışımını sergiliyor ve siber güvenlik savunucuları için önemli bir zorluk oluşturuyor.

– Reklamcılık –
Google Haberleri

Saldırı, kurbanları, tehlikeye atılan bir hükümet web sitesinde barındırılan kötü amaçlı bir fermuar arşivi indirmeye çeken mızrak aktı e-postalarıyla başlıyor.

İçeride, “申報物品清單 .pdf.lnk” adlı bir PDF olarak gizlenen bir Windows kısayolu (LNK) dosyası, ikisi 6.jpg ve 7.jpg kötü niyetli yükler olan birkaç görüntü dosyası eşlik eder.

Apt41 hacker
Windows Kısayol (LNK) Dosyası

Mağdur LNK dosyasını yürüttüğünde, ToughProgress olarak adlandırılan bir kötü amaçlı yazılım aracılığıyla sessizce bir enfeksiyon zinciri başlatırken bir tuzak PDF görüntüler.

Kötü amaçlı yazılım üç aşamada çalışır: PlusDrop, XOR tabanlı bir rutin kullanarak 6.jpg’yi şifresini çözer ve Rundll32.exe aracılığıyla bellekte yürütür; PlusInject, yükü kaçırma için meşru bir svchost.exe işlemine enjekte etmek için proses oyuğu kullanır; Ve ToughProgress kalıcılık oluşturur ve C2 için saldırgan kontrollü Google takvim etkinlikleri ile iletişim kurar.

Bu kurulum, şüpheli telleri önlemek için dinamik dize üretimi, özel karma ve kontrol akışı manipülasyonu gibi gelişmiş gizleme tekniklerini kullanır.

Yürütme Ayrıntıları

Ayrıca, kötü amaçlı yazılım, ntoskrnl.exe’yi hedefler, çekirdek belleğini eşleştirir ve potansiyel olarak ayrıcalık artış ve anti-forensik yeteneklere ulaşmak için sürücü benzeri kullanım kullanır, analizi ters mühendisler için olağanüstü zor hale getirir.

Bu kampanyayı ayıran şey, ToughProgress’in Google Takvimini gizli bir C2 kanalı olarak kullanmasıdır.

Apt41 hacker
Zorlu.

Kötü amaçlı yazılım, bilgileri eklemek ve saldırganlardan gelen komutları almak için 2023 yılına dayanan takvim olay açıklamalarına şifrelenmiş verileri yerleştirir.

Yürütülen komutların sonuçları, gizli, sürekli iletişim sağlayarak yeni etkinliklere yüklenir.

Bu yeni yaklaşım, geleneksel ağ tabanlı algılama mekanizmalarını atlayarak kötü niyetli amaçlar için güvenilir bir platformdan yararlanır.

Yanıt olarak Google, kötü amaçlı takvim örneklerini tanımlamak ve devre dışı bırakmak için özel algılama parmak izleri uyguladı, güvenli tarama blok listelerine zararlı alanlar ekledi ve tehdidi engellemek için ilişkili çalışma alanı projelerini indirdi.

APT41’in taktikleri, Spearphishing (T1566.001), proses enjeksiyonu (T1055.012) ve C2 kanalları (T1041) dahil olmak üzere çoklu miter ATT & CK tekniklerine eşleşir, statecraft ile birlikte hibrit bir tehdit oyuncusu olarak çok yönlülük ve tehlikeleri vurgular.

Uzlaşma Göstergeleri (IOCS)

Dosya adı Sha256 karma MD5 karma
Gümrük Deklarasyon Çıkış Listesi.ZIP 46b534bec827be03c0823e72e7b4da0b84f53199040705da203986ef154406a 876FB1B0275A653C4210AAF01C2698EC
Öğe Listesi.PDF.LNK 2 65da1a9026cf171a5a779bc5ee45fb1
6.jpg 50124174A4AC0D65BFFF8B6FD66F53829D1589EDC73AA7CF36502E57AA5513660 1ca60e207edb211c8b956ef35043b6
7.jpg 151257E9DFDA476CDAFD98326AD325104D72A66F9265CAA8417A5FE1DF5D7 2EC4EEABB8F6C2970DCBFFDCDBD60E3

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun



Source link