Kaspersky MDR analistleri son zamanlarda Çince konuşan siber sorumluluk grubu APT41 tarafından Afrika bölgesindeki hükümet BT hizmetlerine karşı sofistike bir hedefli saldırıyı ortaya çıkardı ve grubun kıtadaki faaliyetlerinde daha önce bu aktörden minimum olaylar gören önemli bir artış gösterdi.
Saldırganlar, dahili hizmetlerin, IP adreslerinin ve proxy sunucularının sert kodlanmış adlarını doğrudan kötü amaçlı yazılımlarına yerleştirerek derin önceki keşifleri gösterdi.
Tespit ve ilk uzlaşma
Mağdurun altyapısında uzlaşmış bir SharePoint örneğinde, gizli iç iletişimlere izin veren bir anahtar komut ve kontrol (C2) sunucusu kuruldu.
İzinsiz, ilk olarak, Impacket Toolkit’in WMIExec modülünden uyarılar tarafından tetiklenen birden fazla iş istasyonunda şüpheli etkinlik yoluyla tespit edildi.
Bu, komut çıktılarının, noktalı sayısal kalıplarla adlandırılan idari ağ paylaşımlarındaki dosyalara yönlendirilmiş SVCHOST.EXE yumurtlama cmd.exe’yi içeren bir proses zinciri olarak ortaya çıktı.
Benzer şekilde, ATEXEC modülü, hem doğrudan hem de dahili vekiller aracılığıyla C2 kullanılabilirliğini araştırmak için planlanmış görevler oluşturmak üzere kullanılmıştır.
Rapora göre, kaynak, daha sonra daha derin analizler için telemetriye entegre edilen bir hizmet hesabı altında işlenmemiş tehlikeye atılmış bir konakçı ithalatına geri döndü.
İlk yürütmeyi takiben, saldırganlar, çalışan süreçleri ve bağlantı noktalarını tanımlamak için NetStat ve Görev Listesi gibi keşif komutlarına devam etmeden önce operasyonları kısaca duraklattı, muhtemelen EDR veya XDR ajanları gibi güvenlik çözümleri için keşif yaptı.
Ayrıcalık artışı, Reg.exe kullanarak boşaltma sistemi ve SAM kayıt defteri kovanlarını içeriyordu ve izlenen sistemlerdeki bloklara rağmen teminatsız ana bilgisayarlardan başarıyla hasat.
Bu, saldırganlar yerel yönetici haklarına sahip bir alan Alanı hesabını ve C: \ Windows \ Tasks veya C: \ ProgramData gibi yollara SMB aracılığıyla yanal hareket için alan adlı yönetici ayrıcalıklarına sahip bir yedekleme hesabını kullandığından, evrensel güvenlik aracı dağıtım ve katı ayrıcalık yönetimi için kritik ihtiyacı vurguladı.
Yürütme, WMI aracılığıyla uzaktan meydana geldi, Cobalt Strike, Cookie_exporter.exe veya tmpfw.exe gibi meşru uygulamalarda DLL kenar yükleme yoluyla şifreli yükler (örn. TXT veya INI dosyaları) olarak dağıtıldı.
Kötü niyetli DLL’ler, hata ayıklama ortamları ve dil paketleri (örneğin, Japon, Korece veya Çin sistemlerinden kaçınmak) için anti-analiz kontrolleri, SSE’ye hızlandırılmış rutinlerle yükleri bellek veya yeni süreçlere enjekte etmeden önce şifrelemeyi içeriyordu.
Custom C# Trojans, Agents.exe ve AgentX.exe, komut yürütme ve veri eksfiltrasyonu için SharePoint C2’de Upload.ashx, tarayıcı geçmişleri, belgeler ve yapılandırmalar toplama için bir komutandler.aspx web kabuğu ile iletişim kurdu.
Ek araçlar, wmicodeGen.dll olarak derlenen ve Convert-MoftOprovider.exe aracılığıyla silinen kimlik bilgileri ve proje verileri için değiştirilmiş bir yağmacı stealer; Tarayıcı ve kredi kartı bilgileri için ödeme; Ham kayıt defteri dosyası çıkarma için RAWCOPY; ve kimlik bilgisi boşaltma için java.exe aracılığıyla sideloaded mimikatz dll.
Ters kabuklar, github.githubassets.net gibi taklit edilen alanlardan indirilen kötü amaçlı HTA dosyaları kullanılarak oluşturuldu ve kalıcı komut erişimini sağladı.
Retrospektif analiz, bir IIS web sunucusunu, ASP.NET geçici dosyalarında, Impacket lansmanları için harici trafiği proxying, Cobalt Strike ve Cobalt Strike ve Neo-Regeorg Web Kabuğu (Heur: Backdoor.msil.webshell.Gen olarak algılanan) barındıran ilk giriş noktası olarak ortaya koydu.
APT41’e ilişkilendirme, Impacket/WMI kullanımı, DLL kenar yükleme, C: \ Windows \ temp dosya yerleşimleri ve benzer C2 alanları (örneğin S3-Azure.com varyantları) gibi TTP’lere dayanarak yüksek güvendir. Grup, araçları dinamik olarak uyarladı, yürütülebilir dosyaları kaçış için DLL’lere yeniden yazdı.
Dersler, bu tür uyarlanabilir tehditlere karşı koymak için kapsamlı izlemenin, otomatik engelleme ile tam altyapı kapsamının ve en azından ayrı prensiplerin altını çizmekte ve sonuçta saldırganların tahliyesini sağlamaktadır.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge | Tanım |
|---|---|---|
| Dosya karma | 2F9D2D8C4F2C50CC4D2E156B9985E7CA | Kötü niyetli dosya (kobalt greviyle ilgili) |
| Dosya karma | 9B4F0F94133650B19474AF6B5709E773 | Pillager Stealer Dll |
| Dosya karma | A052536E671C513221F788DE2E62316C | Özel Ajan Yürütülebilir |
| Dosya karma | 2cd15977b72d5d74fadedfde2ce8934f | Kötü niyetli HTA betiği |
| Dosya karma | 9D53A0336ACFB9E4DF11162CCF7383A0 | Mimikatz vb. |
| Ivır zıvır | 47.238.184.9 | C2 ile ilgili IP |
| Ivır zıvır | 38.175.195.13 | C2 ile ilgili IP |
| Url | hxxp: //github.githubassets.net/okaqbfk867hmx2tvqxhc8zyQ9fy694gf/hta | Kötü niyetli HTA İndir |
| Url | hxxp: //ap-northeast–1.s3-azure.com | C2 Alanı |
| İhtisas | s3-azure.com | Birincil C2 alanı |
| İhtisas | Yükle-microsoft.com | C2 Alanı |
| İhtisas | msn-microsoft.org | C2 Alanı |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now