Çin’in APT41 tehdit grubu, Güney Asya’daki kuruluşları hedef alan bir siber casusluk kampanyasında Windows tabanlı gelişmiş bir gözetim araç seti kullanıyor.
Kötü amaçlı yazılım, tehdit aktörünün son yıllarda kullandığı zaten geniş olan kötü amaçlı araç portföyüne katkıda bulunuyor ve APT41’i hedeflenen kuruluşlar için daha da zararlı bir tehdit haline getiriyor.
Optimize Edilmiş Eklentiler
Tehdit aktörünü takip eden pek çok kişi arasında yer alan BlackBerry’deki araştırmacılar, yeni kötü amaçlı yazılım araç setini bu yılın başlarında fark ettiler ve ona “DeepData Framework” adını verdiler. Analizleri bunun, her biri belirli bir kötü amaçlı işlev için optimize edilmiş 12’ye kadar ayrı eklentiyi destekleyen oldukça modüler bir araç seti olduğunu gösterdi.
Eklentilerden dördü WhatsApp, Signal, Telegram ve WeChat’ten iletişimleri çalıyor. Diğer üçü ise sistem bilgilerini, Wi-Fi ağ verilerini ve ele geçirilen sistemdeki yüklü tüm uygulamalara ilişkin bilgileri (isimler ve kurulum yolları dahil) çalmak ve sızdırmak üzere donatıldı. Üç DeepData eklentisi, tarama geçmişi ve çerezlerle ilgili bilgileri çalar; ayrıca Web tarayıcılarından, Baidu depolama hizmetlerinden, FoxMail’den ve diğer bulut hizmetlerinden parolaları ve Microsoft Outlook’taki kullanıcı e-postaları ve kişi listeleri gibi diğer bilgileri de alırlar. Kalan iki eklenti, güvenliği ihlal edilmiş sistemlerden ses dosyalarının çalınmasına olanak tanır.
Blackberry araştırmacıları, “LightSpy,” Hindistan ve Güney Asya’daki hedeflere karşı devam eden ve geniş kapsamlı bir mobil casusluk kampanyasında APT41’i kullanarak takip ettikleri bir iOS implantı. Analizleri, DeepData’nın LightSpy’a benzer bir tasarıma sahip olduğunu ve her ikisinin de bir çekirdek modüle ve desteğe sahip olduğunu gösterdi. birden fazla veri hırsızlığı eklentisi.
Önemli bir şekilde DeepData, saldırganların bir hedefi tehlikeye atıp erişim sağladıktan sonra manuel olarak etkileşime girdiği kötü amaçlı bir araç seti gibi görünüyor. ” [command and control] Adres ayrıca çalıştırılacak talep edilen eklentiler veya çıkarılacak veriler gibi bir komut satırı argümanı olarak da belirtilir.” Blackberry’nin araştırma ve istihbarat ekibi şunları söyledi: bir blog yazısında Bu hafta. “Bu yürütme yönteminin anlamı, bunun manuel olarak yapılması, bir komut dosyası veya başka bir paket dağıtımı olmadan yapılması gerektiğidir.”
Gözetim Yetkileri Artmaya Devam Ediyor
DeepData, APT41’in zaten güçlü olan gözetleme ve siber casusluk yeteneklerine katkıda bulunuyor. Kötü niyetli çerçeve, kuruluşların gelişmiş kalıcı tehdit gruplarından ve ulus devlet kötü aktörlerinden gelen tehditleri azaltmaya çalışırken uğraşmak zorunda oldukları, sürekli ortaya çıkan tehditlerin bir örneğidir. BlackBerry, “Son bulgularımız, DeepData’nın arkasındaki tehdit aktörünün uzun vadeli istihbarat toplamaya net bir şekilde odaklandığını gösteriyor” dedi. BlackBerry, LightSpy’ın 2022’de ilk kez devreye alınmasından bu yana, tehdit aktörünün tamamen gizlilik içinde iletişimleri dinleme ve verileri çalma yeteneklerini metodik ve stratejik olarak artırdığını söyledi.
APT41, güvenlik satıcılarının ve araştırmacıların Winnti, WickedPanda, Barium, Wicked Spider ve diğer isimlerle çeşitli şekillerde takip ettiği bilinen bir tehdit aktörüdür. Bazı satıcılar APT41’i bir daha küçük alt grupların toplanması Çin hükümetinin emri veya adına kolektif olarak çalışıyorlar. Hedeflerine ve son yıllarda gerçekleştirdiği kampanya türlerine bakıldığında, grubun görev alanının çok geniş olduğu görülüyor.
Son zamanlarda araştırmacılar APT41’i küresel hedefli saldırılara bağladılar lojistik ve kamu hizmetleri şirketlerive Tayvan’daki araştırma kuruluşlarını hedef alan bir kampanyaya. Yıllar geçtikçe grup bir bilgisayardan veri çaldı. geniş organizasyon yelpazesisağlık kuruluşları, medya ve eğlence şirketleri, devlet kurumları, otomotiv firmaları, perakendeciler, enerji şirketleri, ilaç şirketleri ve diğerlerine ait fikri mülkiyet ve ticari sırlar dahil. Faaliyetleri ABD hükümetinin soruşturmasına yol açtı ve sonraki iddianame 2020 yılında APT41’in beş üyesi olduğu iddia edilenlerden biri. Kurbanları Avrupa, Asya ve Kuzey Amerika’ya yayılmış durumda.
BlackBerry’ye göre grubun en son Güney Asya kampanyası bölgedeki politikacıları, gazetecileri ve siyasi aktivistleri hedef alıyor gibi görünüyor. “Her büyüklükteki kuruluş, özellikle de hedeflenen bölgelerdekiler, bu tehdide yüksek öncelik vermeli ve kapsamlı savunma önlemleri uygulamalıdır.”
Şirketin önerilen hafifletme önlemleri arasında grubun bilinen C2 altyapısının engellenmesi, ağların ve cihazların beklenmeyen ses kayıt faaliyetlerine karşı izlenmesi, veri aktarımı için güvenli iletişim kullanılması ve BlackBerry’nin DeepData bileşenleri için yayınladığı algılama kurallarının uygulanması yer alıyor.
Yaklaşan ücretsiz kampanyayı kaçırmayın Karanlık Okuma Sanal Etkinliği“Düşmanınızı Tanıyın: Siber Suçluları ve Ulus-Devlet Tehdit Aktörlerini Anlamak”, 14 Kasım, saat 11:00 ET. MITRE ATT&CK’yi anlama, proaktif güvenliği bir silah olarak kullanma ve olaylara müdahalede ustalık sınıfına ilişkin oturumları kaçırmayın; ve Navy Credit Federal Union’dan Larry Larsen, eski Kaspersky Lab analisti Costin Raiu, Mandiant Intelligence’dan Ben Read, SANS’tan Rob Lee ve Omdia’dan Elvia Finalle gibi çok sayıda önemli konuşmacı. Şimdi kaydolun!