Trend Micro’daki güvenlik analistleri, kısa süre önce, aşağıdaki gibi ülkelerdeki birkaç kuruluşu aktif olarak hedef alan, önceden bilinmeyen bir Çinli APT hack grubu olan ‘Earth Longzhi’nin izini sürdü:-
- Doğu Asya
- Güneydoğu Asya
- Ukrayna
Tehdit aktörleri, Cobalt Strike yükleyicilerinin özel sürümlerinin yardımıyla, en az 2020’den beri kurbanlarının sistemlerine başarılı bir şekilde kalıcı arka kapılar yerleştiriyor.
Link Earth Bakü
Her ikisi de Çin hükümetinin bir parçası olan APT41 hack grubuna dahil olan Earth Longzhi ve Earth Baku tarafından kullanılan taktikler arasında birkaç benzerlik var.
Aşağıda listelenen faktörlere dayanarak, araştırmacılar, Earth Longzhi, APT41’in bir alt grubu olduğundan, bu tehdit aktörlerinin APT41’in bir parçası olabileceğine inanmaktadır.
Earth Longzhi’nin kampanya etkinlik listesinde, grup tarafından yürütülen iki farklı kampanya yer alıyor ve iki kampanyadan ilki Mayıs 2020 ile Şubat 2021 arasında gerçekleşti.
Aşağıdakiler, bu süre zarfında gerçekleşen saldırılardan bazılarıydı: –
- Tayvan’da birden fazla altyapı şirketi
- Tayvan’da bir devlet kuruluşu
- Çin’de bir banka
Hacker Kullanılmış Symatic Yükleyici
Bu kampanya, bilgisayar korsanlarının kullanması için özel olarak tasarlanmış, Symatic olarak bilinen Cobalt Strike yükleyicinin özel bir versiyonu yardımıyla gerçekleştirildi.
Bu özel yükleyici birkaç gizli özellik sunarken, aşağıda bunlardan bahsettik:-
- Kancaları ortadan kaldırarak, Windows çekirdek yardımcı programı ntdll.dll’nin bellek içi kancalarının işlevselliğini kullanıcı modunda geri yüklemek için bir yöntem.
- Üst süreci maskelemek için API UpdateProcThreadAttribute’i kullanma.
- Şifresi çözülen bir yük, sistemde yerleşik bir dahili işleme (dllhost.exe veya rundll32.exe) enjekte edilir.
Earth Longzhi, birincil operasyonlarını yürütmek için gereken tüm araçlardan oluşan bir bilgisayar korsanlığı aracı paketi kullandı. Kamuya açık araçların bir kombinasyonu, Earth Longzhi operatörleri tarafından derlendiği için bu pakete dahil edilmiştir.
Bu aracın sıkıştırılmış doğası nedeniyle, aynı anda birden fazla işlemi yürütmek için tek bir yürütülebilir dosya kullanmalarına izin verir.
Özel Yükleyiciler
VirusTotal’a yüklenen ve doğası gereği benzer örnekleri de içeren bir dizi özel Cobalt Strike yükleyicisi keşfedildi. Burada aşağıda belirtilmiştir: –
- CroxYükleyici
- Büyük BoruYükleyici
- Çok BoruluYükleyici
- Yükleyici
Güvenlik ürünlerini devre dışı bırakmak için aşağıdaki iki araç kullanılır:-
Her iki aracı kullanarak, çekirdek tanımında belirtilen çekirdek nesnesi, savunmasız sürücü (RTCore64.sys) tarafından belirtilen değeri içerecek şekilde değiştirilir. Bu durumda, ProcBurner, öncelikle belirli çalışan işlemleri ortadan kaldırmayı amaçladığı için bir sonlandırıcı olarak çalışır.
ProcBurner aşağıdaki Windows sürümlerini destekler: –
- Windows 7 SP1
- Windows Server 2008 R2 SP1
- Windows 8.1
- Windows Server 2012 R2
- Windows 10 1607
- Windows 10 1809
- Windows Sunucu 2018 1809
- Windows 10 20H2
- Windows 10 21H1
- Windows 11 21H2
- Windows 11 22449
- Windows 11 22523
- Windows 11 22557
AVBurner, Güvenlik Ürünleri için çekirdek geri çağırma yordamını kaldırarak, güvenlik açığı bulunan sürücüdeki güvenlik açığından yararlanarak bunların kaydını iptal eder.
APT gruplarının izlerini gizlemek ve dikkatleri onlardan uzaklaştırmak için emtia kötü amaçlı yazılımlarının ve Kobalt Strike gibi saldırı çerçevelerinin kullanımı giderek artıyor.
Ancak, karmaşık bilgisayar korsanlarının yükleri gizlice yüklemek ve güvenlik araçlarını atlamak için özel araçlar kullanması hala yaygındır. Ve Earth Longzhi, bir APT grubunun parçası olduğu için bunun açık örneklerinden biridir.
Uygulamalar için Yönetilen DDoS Saldırı Koruması – Ücretsiz Kılavuzu İndirin