Güney ve Güneydoğu Asya’da bulunan hükümet, havacılık, eğitim ve telekom sektörleri, 2022’nin ortalarında başlayan ve 2023’ün ilk çeyreğine kadar devam eden yüksek hedefli bir kampanyanın parçası olarak yeni bir bilgisayar korsanlığı grubunun radarına girdi.
Broadcom Software tarafından geliştirilen Symantec, etkinliği böcek temalı lakabıyla takip ediyor mızrak böceğiMerdoor adlı “güçlü” bir arka kapıdan yararlanan saldırılarla.
Şimdiye kadar toplanan kanıtlar, özel implantın 2018 yılına kadar kullanıldığını gösteriyor. Araçlara ve mağduriyet modeline dayanan kampanyanın nihai hedefinin istihbarat toplama olduğu değerlendiriliyor.
The Hacker News ile paylaşılan bir analizde Symantec, “Arka kapı çok seçici bir şekilde kullanıldı, yıllar boyunca yalnızca bir avuç ağda ve az sayıda makinede ortaya çıktı ve kullanımı oldukça hedeflenmiş görünüyor” dedi.
“Bu kampanyadaki saldırganlar, ZXShell rootkit’in güncellenmiş bir sürümüne de erişebilir.”
Kullanılan tam ilk izinsiz giriş vektörü şu anda net olmasa da, kimlik avı tuzaklarının, SSH kaba zorlamanın veya internete açık sunucuların kötüye kullanılmasının kullanımını içerdiğinden şüpheleniliyor.
Saldırı zincirleri nihayetinde, daha fazla komut ve günlük tuş vuruşları için aktör kontrollü bir sunucuyla iletişim kurabilen tam özellikli bir kötü amaçlı yazılım olan ZXShell ve Merdoor’un konuşlandırılmasına yol açar.
İlk olarak Ekim 2014’te Cisco tarafından belgelenen ZXShell, virüslü ana bilgisayarlardan hassas verileri toplamak için çeşitli özelliklerle birlikte gelen bir rootkit’tir. ZXShell’in kullanımı geçmişte APT17 (Aurora Panda) ve APT27 (aka Budworm veya Emissary Panda) gibi çeşitli Çinli aktörlerle ilişkilendirilmiştir.
Symantec, “Bu rootkit’in kaynak kodu herkese açık olduğundan, birden çok farklı grup tarafından kullanılabilir” dedi. “Lancefly tarafından kullanılan rootkit’in yeni sürümünün boyutu daha küçük görünüyor, aynı zamanda ek işlevlere sahip ve ek antivirüs yazılımlarını devre dışı bırakmayı hedefliyor.”
Başka bir Çin bağlantısı, ZXShell rootkit’in daha önce Ağustos 2029’da Mandiant tarafından APT41 (aka Winnti) ile ilişkilendirildiği bildirilen “Wemade Entertainment Co. Ltd” sertifikasıyla imzalanmış olmasından geliyor.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Lancefly’ın izinsiz girişlerinin, PlugX ve onun halefi ShadowPad’i kullandığı da belirlendi; ikincisi, 2015’ten beri çok sayıda Çin devlet destekli aktör arasında özel olarak paylaşılan modüler bir kötü amaçlı yazılım platformudur.
Bununla birlikte, Çin devlet destekli gruplar arasında sertifika ve araç paylaşımının yaygın olduğu da biliniyor ve bu da bilinen belirli bir saldırı ekibine atıfta bulunmayı zorlaştırıyor.
Symantec, “Merdoor arka kapısı birkaç yıldır var gibi görünse de, o dönemde yalnızca az sayıda saldırıda kullanılmış gibi görünüyor” dedi. “Aracın bu ihtiyatlı kullanımı, Lancefly’ın faaliyetlerini radar altında tutma arzusunu gösterebilir.”