Cisco Talos’un yeni bulgularına göre, bilgi işlem ve ilgili teknolojiler konusunda uzmanlaşmış Tayvan hükümetine bağlı bir araştırma enstitüsüne Çin ile bağlantıları olan ulus devlet tehdit aktörleri tarafından saldırı düzenlendi.
İsmi açıklanmayan örgüt, ShadowPad ve Cobalt Strike gibi çeşitli arka kapılar ve uzlaşma sonrası araçlar sunmak için Temmuz 2023 ortalarında hedef alındı. Orta düzeyde güvenle, APT41 olarak izlenen üretken bir hacker grubuna atfedildi.
Güvenlik araştırmacıları Joey Chen, Ashley Shen ve Vitor Ventura, “Mevcut kampanyada kullanılan ShadowPad kötü amaçlı yazılımı, yükü başlatmak için özelleştirilmiş ikinci aşama yükleyicisini yüklemek amacıyla yükleyici olarak Microsoft Office IME ikili dosyasının güncel olmayan, güvenlik açığı olan bir sürümünü kullandı” dedi.
“Tehdit aktörü hedeflenen ortamda üç ana bilgisayarı tehlikeye attı ve ağdan bazı belgeleri sızdırmayı başardı.”
Cisco Talos, Ağustos 2023’te, tehlikeye atılmış ortamda PowerShell komutlarını indirmek ve yürütmek için bir IP adresine bağlanan “anormal PowerShell komutları” olarak tanımladıkları şeyi tespit ettikten sonra etkinliği keşfettiğini söyledi.
Saldırıda kullanılan ilk erişim vektörü tam olarak bilinmiyor ancak kalıcı erişimi sağlamak ve ShadowPad ve Cobalt Strike gibi ek yükler bırakmak için bir web kabuğunun kullanıldığı, ikincisinin CS-Avoid-Killing adlı Go tabanlı bir Cobalt Strike yükleyicisi aracılığıyla sağlandığı belirtiliyor.
Araştırmacılar, “Cobalt Strike kötü amaçlı yazılımı, AV tespitini atlatmak ve güvenlik ürünü karantinasından kaçınmak için bir anti-AV yükleyicisi kullanılarak geliştirilmişti” dedi.
Alternatif olarak, tehdit aktörü ShadowPad’i bellekte çalıştırmaktan sorumlu betikleri başlatmak ve tehlikeye atılmış bir komuta ve kontrol (C2) sunucusundan Cobalt Strike kötü amaçlı yazılımını almak için PowerShell komutlarını çalıştırırken gözlemlendi. DLL tabanlı ShadowPad yükleyicisi, ScatterBee olarak da adlandırılır, DLL yan yüklemesi yoluyla yürütülür.
Saldırı kapsamında gerçekleştirilen diğer adımlar arasında Mimikatz kullanılarak şifrelerin çıkarılması ve kullanıcı hesapları, dizin yapısı ve ağ yapılandırmaları hakkında bilgi toplamak için çeşitli komutların yürütülmesi yer aldı.
Talos, “APT41, CVE-2018-0824 için bir kavram kanıtını doğrudan belleğe enjekte etmek için özel bir yükleyici oluşturdu ve yerel ayrıcalık yükseltmesini elde etmek için uzaktan kod yürütme güvenlik açığından yararlandı,” dedi ve son yük olan UnmarshalPwn’nin üç farklı aşamadan geçtikten sonra serbest bırakıldığını belirtti.
Siber güvenlik ekibi ayrıca saldırganın sistemde başka kullanıcıları tespit ettiğinde kendi etkinliğini durdurarak tespitten kaçınma girişimlerine de dikkat çekti. Araştırmacılar, “Arka kapılar devreye girdiğinde kötü niyetli aktör, ilk erişime izin veren web kabuğunu ve misafir hesabını silecek” dedi.
Açıklama, Almanya’nın bu hafta başında Çin devlet aktörlerinin, ülkenin ulusal haritalama kurumu olan Federal Kartografya ve Jeodezi Ofisi’ne (BKG) casusluk amaçlı 2021 yılında düzenlenen siber saldırının arkasında olduğunu açıklamasının ardından geldi.
Çin’in Berlin Büyükelçiliği ise iddialara yanıt vererek, suçlamanın asılsız olduğunu belirterek, Almanya’yı “Çin’i siyasi ve medyada karalamak için siber güvenlik sorunlarını kullanma uygulamasına son vermeye” çağırdı.