Japonya ve diğer Doğu Asya ülkelerindeki kuruluşları hedef alan karmaşık bir saldırı kampanyası. APT-C-60 olarak tanımlanan tehdit aktörü, kurumsal ağlara sızmak ve kötü amaçlı yazılım dağıtmak için iş başvuru süreçlerinden yararlanan akıllı bir sosyal mühendislik taktiği kullanıyor.
İlk olarak Ağustos 2024’te tespit edilen saldırı, bir kuruluşun işe alım sorumlusuna iş başvurusu kılığında gönderilen bir kimlik avı e-postasıyla başladı.
Silahlandırılmış Google Drive Bağlantıları
E-posta, tıklandığında karmaşık bir enfeksiyon zinciri başlatan, görünüşte zararsız bir Google Drive bağlantısı içeriyor.
2024 MITRE ATT&CK Değerlendirme Sonuçları KOBİ’ler ve MSP’ler içins -> Ücretsiz Kılavuzu İndir
Bağlantıya erişen kurbanlar, farkında olmadan, sahte belgelerin yanı sıra kötü amaçlı bileşenler içeren bir sanal disk biçimi olan VHDX dosyasını indiriyor.
JPCERT/CC tavsiyesine göre dosya, yürütüldüğünde “SecureBootUEFI.dat” adlı bir indiricinin dağıtımını tetikleyen bir Windows kısayolu (LNK) içeriyor.
Kullanılan Gelişmiş Teknikler
Bu indirici, virüslü cihazları tanımlamak için karmaşık bir teknik kullanır. HTTP yönlendiren alanlarında kodlanan benzersiz cihaz tanımlayıcılarını iletmek için meşru bir web analiz aracı olan StatCounter’dan yararlanır.
Bu, saldırganların ele geçirilen sistemleri etkili bir şekilde izlemesine ve yönetmesine olanak tanır. İndirici, ek kötü amaçlı yükleri almak için popüler bir kod barındırma platformu olan Bitbucket’e bağlandıkça enfeksiyon zinciri devam ediyor.
Bunlara, sırasıyla iki bileşeni daha indirip çalıştıran “Service.dat” da dahildir: “cn.dat” ve “sp.dat”. Saldırının son aşaması SpyGrace adı verilen bir arka kapının konuşlandırılmasını içeriyor.
Şu anda 3.1.6 sürümünde olan bu kötü amaçlı yazılım, bir komut ve kontrol sunucusuyla iletişim kurarak saldırganların dosyaları çalmasına, eklenti yüklemesine ve virüslü sistemlerde rastgele komutlar yürütmesine olanak tanıyor.
Kalıcılığı sağlamak için kötü amaçlı yazılım, güvenliği ihlal edilmiş cihazlarda bir yer edinmek için meşru Windows işlevlerini kötüye kullanan bir yöntem olan COM ele geçirme tekniklerini kullanır.
Bu kampanyayı özellikle sinsi yapan şey, güvenilir platformların ve hizmetlerin kötüye kullanılmasıdır.
Saldırganlar, Google Drive, Bitbucket ve StatCounter’dan yararlanarak genellikle kötü amaçlı etkinlikleri tespit edebilecek geleneksel güvenlik önlemlerini atlayabilir.
Kampanya, Japonya, Güney Kore ve Çin dahil olmak üzere Doğu Asya ülkelerini hedef alan daha geniş bir çabanın parçası gibi görünüyor.
Güvenlik araştırmacıları, Ağustos ile Eylül 2024 arasında benzer saldırılar gözlemledi; bunların tümü, meşru hizmetlerin kötüye kullanılması ve karmaşık ısrar mekanizmaları gibi ortak özellikleri paylaşıyor.
Kuruluşların, özellikle de hedeflenen bölgelerdekilerin, görünüşte güvenilir kaynaklardan gelse bile, istenmeyen iş başvurularını veya beklenmedik bağlantıları ele alırken dikkatli olmaları tavsiye ediliyor.
BT güvenlik ekipleri, yasal hizmetlerden kaynaklansalar bile şüpheli etkinlikleri tespit edebilen gelişmiş tehdit tespit mekanizmaları uygulamalıdır.
Bu saldırının da gösterdiği gibi, siber suçlular, iyi bilinen platformlara ve hizmetlere duyulan güveni istismar ederek taktiklerini sürekli olarak geliştiriyorlar.
Bu kampanyanın keşfi, dijital alanda saldırganlar ve savunucular arasında devam eden kedi-fare oyununun altını çiziyor.
APT-C-60 gibi tehdit aktörleri tekniklerini geliştirdikçe kuruluşların da hassas verileri korumak ve ağlarının bütünlüğünü sürdürmek için güvenlik duruşlarını buna göre uyarlamaları gerekiyor.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin