APT41 olarak bilinen gelişmiş kalıcı tehdit, taktiklerinde bir değişikliğe işaret ederek siber casusluk saldırılarında kullanılmak üzere açık kaynaklı, kırmızı ekip oluşturma aracı Google Command and Control’ü (GC2) hizmete soktu.
Google Tehdit Analizi Grubu (TAG) ekibine göre, HOODOO, Winnti ve Bronze Atlas olarak da bilinen APT41 grubu, kısa süre önce Drive’da barındırılan parola korumalı bir dosyaya bağlantılar içeren kimlik avı e-postalarıyla Tayvanlı bir medya kuruluşunu hedef aldı.
Dosya açıldığında, GC2 yükünü getirdi. TAG April Threat Horizons raporunda ayrıntılı olarak açıklandığı gibi, bu araç komutlarını büyük olasılıkla kötü amaçlı etkinliği gizlemek için Google E-Tablolar’dan alır ve verileri Google Drive’a sızdırır. GC2 aracı, saldırganın Drive’dan kurbanın sistemine ek dosyalar indirmesine de olanak tanır.
TAG’a göre APT41, daha önce de geçen Temmuz ayında bir İtalyan iş arama web sitesini hedeflemek için GC2’yi kullanmıştı.
TAG araştırmacıları, bunun gibi olayların, halka açık araçların kullanılması, Go programlama dilinde yazılmış araçların çoğalması ve Tayvan medyasının hedef alınması gibi Çin bağlantılı tehdit aktörlerinin çeşitli eğilimlerini öne çıkardığını belirtti.
Halka Açık Araçları Kullanma
Çinli APT grupları, Cobalt Strike gibi halka açık (ve meşru) araçları ve GitHub gibi sitelerde bulunan diğer sızma testi yazılımlarını giderek daha fazla kullandı; Ayrıca, saldırıları sırasında tespit edilmekten kaçınmak için Brute Ratel ve Sliver gibi daha az bilinen kırmızı takım araçlarının kullanımına geçiş yapıldı.
Bu tür “toprak dışında yaşama” taktiklerinin kullanımı, finansal motivasyona sahip siber saldırganlar tarafından iyi bilinir, ancak daha iyi kaynaklara sahip olan ve özel araçlar geliştirebilen APT’ler arasında daha az bilinir. Yine de Google Cloud’un tehdit istihbaratı başkanı Christopher Porter, raporda “devlet destekli siber tehdit aktörlerinin bu tür sistemleri hedef almak için siber suçluların oyun kitaplarından çalabileceğini düşünmenin ihtiyatlı bir davranış” olduğunu söyledi.
“Tanıdık bir alan adı, şüpheli bir e-postayı görüntülerken hepimizin sahip olduğu doğal savunmaların çoğunu etkisiz hale getirir ve ona ne ölçüde güvenildiği, spam veya kötü amaçlı yazılımları tarayan güvenlik sistemlerine genellikle sabit kodlanır” diyor. gizlilik ve meşruiyet için bulut hizmetlerinin kullanımına da işaret etti: “Bulut sağlayıcıları, kötü amaçlı yazılımlar için ana bilgisayar olarak veya komuta ve kontrol için altyapı sağlayarak bu tür operasyonlar için yararlı hedeflerdir.”
APT41 Kimdir?
TAG analizine göre grubun faaliyetleri, “sınırlı hükümet bağları olan özel sektör kuruluşlarını hedef alan kamu sektörü tehdit aktörlerinin devam eden örtüşmesini” gösteriyor.
Geçen yıl aynı grubun, Hong Kong’daki devlet kurumları hakkında istihbarat bilgileri toplamak için devam eden bir kampanyanın parçası olarak Spyder Loader kötü amaçlı yazılımını dağıttığı ve Log4j güvenlik açığını kullanarak birden fazla ABD devlet kurumunu hedef aldığı keşfedildi.
En az 2007’den beri takip eden Secureworks’ün Karşı Tehdit Birimi kıdemli güvenlik araştırmacısı Marc Burnard, Bronze Atlas’ın “uzun zamandır takip ettiğimiz en üretken gruplardan biri” olduğunu söylüyor. çok verimli oldu” diyor.
Burnard, APT41’in hükümet, sağlık, yüksek teknoloji üretimi, telekomünikasyon, havacılık, sivil toplum kuruluşları (STK’lar) dahil olmak üzere bir dizi hedefin ve Çin’in siyasi ve ekonomik çıkarları doğrultusunda hedeflerin peşine düştüğünü söylüyor.
“Öncelikle fikri mülkiyeti çalmaya odaklanıyorlar ve aynı zamanda siyasi istihbaratı da hedef alıyorlar” diyor.
Bu Tayvanlı medya şirketinin neden hedef alınacağı sorulduğunda Burnard, Çin-Tayvan siyasi durumu, kurbanı diğer kuruluşları ve bireyleri hedef almak için kullanma hedefi veya “yıkıcı bir unsur” da dahil olmak üzere birkaç neden olabileceğini kabul ediyor. .
APT41 Gürültü Duvarını Sessize Alır
Belirtildiği gibi TAG raporu, saldırganların tespit edilmekten kaçınmak için kurbana yasal bulut hizmetlerine bağlantılar içeren kimlik avı e-postaları gönderdiğini tespit etti – güvenilir bir bulut hizmetine giden bağlantılar e-posta filtrelerini tetiklemez. Burnard, bunun grup için bir stil değişikliğinin parçası olduğuna dikkat çekiyor, çünkü son birkaç yıla kadar saldırılarında oldukça gürültülüydü ve aktivitenin tespit edilmesi konusunda çok endişeli değil.
Bununla birlikte, aralarında APT41 üyelerinin de bulunduğu bildirilen yedi siber suçlunun 2020’deki iddianamesinden bu yana, faaliyet daha gizli hale geldi ve Burnard, APT’nin artık Cobalt Strike gibi yasal araçları ve niyetlerini gizlemek için bulut hizmetlerine doğru ilerlediğini söylüyor. aktivite.