Yakın zamanda gerçekleştirilen bir kampanya Dünya Pretası Çin ile ittifak halindeki ulus-devlet gruplarının güvenlik çözümlerini atlatmakta giderek daha yetkin hale geldiğini gösteriyor.
En az 2012’den beri aktif olan tehdit aktörü, Bronz Başkan, HoneyMyte, Mustang Panda, RedDelta ve Red Lich altındaki daha geniş siber güvenlik topluluğu tarafından izleniyor.
Grup tarafından oluşturulan saldırı zincirleri, arka kapı erişimi, komuta ve kontrol (C2) ve veri hırsızlığı için çok çeşitli araçları dağıtmak üzere hedef odaklı kimlik avı e-postasıyla başlar.
Bu mesajlar, TONEINS, TONESHELL, PUBLOAD ve MQsTTang ( namı diğer QMAGENT).
Google Drive bağlantılarını kullanan benzer enfeksiyon zincirleri gözlemlendi Cobalt Strike’ı teslim etmek Nisan 2021 kadar erken.
Trend Micro, Perşembe günü yayınlanan yeni bir analizde, “Earth Preta, kötü amaçlı yükleri sahte dosyalarda gizleme ve onları meşru dosyalarmış gibi gösterme eğilimindedir – bu, tespit edilmekten kaçınmada etkili olduğu kanıtlanmış bir tekniktir.”
İlk olarak geçen yılın sonlarında tespit edilen bu giriş noktası yöntemi, o zamandan beri hafif bir değişiklik aldı; burada arşive giden indirme bağlantısı başka bir sahte belgeye gömülü ve dosya, e-posta ağ geçidi çözümlerinden kaçınmak amacıyla parola korumalı.
Araştırmacılar, “Dosyalar daha sonra belgede sağlanan şifre aracılığıyla içeri alınabilir.” Dedi. “Bu tekniği kullanarak, saldırının arkasındaki kötü niyetli aktör, tarama hizmetlerini başarıyla atlayabilir.”
Kurbanın ortamına ilk erişimi, Windows 10’da Kullanıcı Hesabı Denetimini (UAC) atlatmak için ABPASS ve CCPASS gibi özel araçlardan yararlanan Mustang Panda ile hesap keşfi ve ayrıcalık artırma aşamaları takip eder.
Ayrıca, tehdit aktörünün “USB Driver.exe” (HIUPAN veya MISTCLOAK) ve “rzlog4cpp.dll” (ACNSHELL veya BLUEHAZE) gibi kötü amaçlı yazılımları, çıkarılabilir disklere yüklemek ve yanal olarak ters bir kabuk oluşturmak amacıyla dağıttığı gözlemlenmiştir. ağ boyunca hareket ediyor.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
Dağıtılan diğer yardımcı programlar arasında, komutları yürütebilen ve olay günlüklerini temizleyebilen bir arka kapı olan CLEXEC; COOLCLIENT ve TROCLIENT, tuş vuruşlarını kaydetmenin yanı sıra dosyaları okumak ve silmek için tasarlanmış implantlar; ve PlugX.
Araştırmacılar, “Tanınmış meşru araçların yanı sıra, tehdit aktörleri ayrıca hırsızlık için kullanılan son derece özelleştirilmiş araçlar da hazırladılar.” Bu, her ikisi de Microsoft Office dosyalarını toplamak için donanımlı olan NUPAKAGE ve ZPAKAGE’den oluşur.
Bulgular, Çinli siber casusluk aktörlerinin artan operasyonel temposunu ve tespit edilmekten kaçınmak için siber silahlarını geliştirmeye yönelik tutarlı yatırımlarını bir kez daha vurguluyor.
Araştırmacılar, “Earth Preta, TTP’lerini sürekli olarak geliştiren, geliştirme yeteneklerini güçlendiren ve çok yönlü bir araç ve kötü amaçlı yazılım cephaneliği oluşturan yetenekli ve organize bir tehdit aktörüdür.”