İtalya, İspanya, Tayvan, Tayland, Türkiye ve İngiltere’de küresel nakliye ve lojistik, medya ve eğlence, teknoloji ve otomotiv sektörlerinde faaliyet gösteren çeşitli kuruluşlar, üretken Çin merkezli bir “sürdürülebilir kampanyanın” hedefi haline geldi. APT41 hacker grubu.
Google’ın sahibi olduğu Mandiant, Perşembe günü yayınlanan yeni bir raporda, “APT41, 2023’ten bu yana çok sayıda kurbanın ağına başarılı bir şekilde sızdı ve uzun süreli, yetkisiz erişim sağladı, bu sayede uzun bir süre boyunca hassas verileri çıkarmalarına olanak sağladı” dedi.
Saldırı zincirleri, kalıcılığı sağlamak, ek yükler sunmak ve ilgi duyulan verileri dışarı çıkarmak için web kabuklarının (ANTSWORD ve BLUEBEAM), özel dropper’ların (DUSTPAN ve DUSTTRAP) ve herkese açık araçların (SQLULDR2 ve PINEGROVE) kullanımını içerir.
Web kabukları, komuta ve kontrol (C2) iletişimi için Cobalt Strike Beacon’ı yüklemekten sorumlu olan DUSTPAN (diğer adıyla StealthVector) dropper’ını indirmek için bir kanal görevi görür ve ardından yanal hareket sonrası DUSTTRAP dropper’ının konuşlandırılmasını sağlar.
DUSTTRAP ise kötü amaçlı bir yükü şifresini çözüp bellekte yürütmek üzere yapılandırılmıştır; bu da kötü amaçlı faaliyetlerini gizlemek amacıyla saldırganın kontrolündeki bir sunucuyla veya tehlikeye atılmış bir Google Workspace hesabıyla iletişim kurmasını sağlar.
Google, belirlenen Workspace hesaplarının yetkisiz erişimi önlemek için düzeltildiğini söyledi. Ancak kaç hesabın etkilendiğini açıklamadı.
Saldırılar ayrıca, SQLULDR2’nin Oracle Veritabanlarından yerel bir metin tabanlı dosyaya veri aktarmak için kullanılması ve PINEGROVE’un Microsoft OneDrive’ı bir sızdırma vektörü olarak kötüye kullanarak tehlikeye atılmış ağlardan büyük miktarda hassas veri iletmek için kullanılmasıyla da karakterize ediliyor.
Burada, Mandiant’ın DUSTPAN ve DUSTTRAP olarak tanımladığı kötü amaçlı yazılım ailelerinin, Zscaler ThreatLabz tarafından sırasıyla DodgeBox ve MoonWalk kod adları verilen kötü amaçlı yazılım aileleriyle örtüştüğünü belirtmekte fayda var.
Mandiant araştırmacıları, “DUSTTRAP, birden fazla bileşene sahip çok aşamalı bir eklenti çerçevesidir” diyerek, kabuk komutlarını yürütme, dosya sistemi işlemlerini gerçekleştirme, işlemleri numaralandırma ve sonlandırma, tuş vuruşlarını ve ekran görüntülerini yakalama, sistem bilgilerini toplama ve Windows Kayıt Defteri’ni değiştirme yeteneğine sahip en az 15 eklenti tespit ettiklerini eklediler.
Ayrıca uzak sunucuları araştırmak, etki alanı adı sistemi (DNS) aramaları yapmak, uzak masaüstü oturumlarını listelemek, dosya yüklemek ve Microsoft Active Directory’ye çeşitli işlemler yapmak için tasarlanmıştır.
Şirket, “Saldırı sırasında gözlemlenen DUSTTRAP kötü amaçlı yazılımı ve ilişkili bileşenleri, muhtemelen çalınmış kod imzalama sertifikalarıyla kod imzalanmıştı,” dedi. “Kod imzalama sertifikalarından biri, oyun sektöründe faaliyet gösteren bir Güney Koreli şirketle ilgili gibi görünüyor.”
GhostEmperor, Haunt’a Geri Dönüyor
Açıklama, İsrailli siber güvenlik şirketi Sygnia’nın, GhostEmperor adlı Çin bağlantılı gelişmiş bir tehdit grubu tarafından Demodex rootkit’inin bir varyantını dağıtmak için düzenlenen bir siber saldırı kampanyasının ayrıntılarını açıklamasının ardından geldi.
Hedeflere ulaşmak için kullanılan kesin yöntem henüz net değil, ancak grubun daha önce internete bakan uygulamalardaki bilinen kusurları istismar ettiği gözlemlendi. İlk erişim, nihayetinde bir çekirdek implant modülünü başlatmak için bir Kabin arşivi (CAB) dosyası bırakan bir Windows toplu komut dosyasının yürütülmesini kolaylaştırır.
İmplant, Windows Sürücü İmza Uygulaması (DSE) mekanizmasını aşmak için Cheat Engine adlı açık kaynaklı bir projeyi kullanarak C2 iletişimlerini yönetmek ve Demodex çekirdek kök setini yüklemek üzere donatılmıştır.
Güvenlik araştırmacısı Dor Nizar, “GhostEmperor, gizli yürütme ve kalıcılığı sağlamak için çok aşamalı bir kötü amaçlı yazılım kullanıyor ve analiz sürecini engellemek için çeşitli yöntemlerden yararlanıyor” dedi.