ESET araştırmacıları, Blackwood adını verdikleri Çin merkezli yeni bir APT grubu tarafından kullanılan gelişmiş bir implant olan NSPX30’u keşfetti.
Blackwood, Çin, Japonya ve Birleşik Krallık’taki bireylere ve şirketlere karşı siber casusluk operasyonları gerçekleştirdi. İmplantı teslim etmek için yasal yazılımlardan gelen güncelleme isteklerini ele geçirmek için ortadaki rakip tekniklerinden yararlanıyor.
ESET, NSPX30’un evrimini daha eski bir ataya, yani Project Wood adını verdikleri basit bir arka kapıya kadar eşleştirdi. Bulunan en eski örnek 2005 yılında derlendi.
ESET Research, Blackwood’u ve arka kapı Project Wood’u mutex adındaki yinelenen bir temaya dayanarak adlandırdı. Uygulanan teknikler göz önüne alındığında, 2005 yılındaki Project Wood implantı, kötü amaçlı yazılım geliştirme konusunda deneyime sahip geliştiricilerin eseri gibi görünüyor.
Hedefler ve kötü amaçlı yazılım
ESET, Blackwood’un en az 2018’den beri faaliyet gösterdiğine inanıyor. 2020’de araştırmacılar, Çin’de bulunan hedeflenen bir sistemde kötü amaçlı faaliyetlerin arttığını tespit etti. ESET Araştırması, saldırganların birden fazla APT grubuyla ilişkili kötü amaçlı yazılım araç kitlerini kullanma girişimlerini tespit ettiğinden, makine genellikle “tehdit mıknatısı” olarak adlandırılan bir şeye dönüştü.
ESET telemetrisine göre NSPX30 implantı yakın zamanda az sayıda sistemde tespit edildi.
Kurbanlar arasında Çin ve Japonya’da bulunan kimliği belirsiz kişiler, Birleşik Krallık’taki yüksek profilli bir kamu araştırma üniversitesinin ağına bağlı, Çince konuşan kimliği belirsiz bir kişi, Çin’deki büyük bir üretim ve ticaret şirketi ve Çin merkezli bir ofis bulunuyor. Mühendislik ve üretim sektöründeki Japon şirketi. Araştırmacılar ayrıca saldırganların erişimin kaybolması durumunda sistemlerin güvenliğini yeniden ihlal etmeye çalıştıklarını da gözlemlediler.
NSPX30, damlalık, yükleyici, yükleyici, orkestratör ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir implanttır.
Her iki bileşenin de Skype, Telegram, Tencent QQ ve WeChat (diğerlerinin yanı sıra) gibi çeşitli uygulamalar için casusluk yetenekleri uygulayan kendi eklenti setleri vardır. Ayrıca kendisini Çin’deki çeşitli kötü amaçlı yazılımdan koruma çözümlerinde izin verilenler listesine ekleme yeteneğine de sahiptir.
Blackwood APT, NSPX30 implantını nasıl sunuyor?
ESET Araştırması, ESET telemetrisini kullanarak, meşru yazılımların (şifrelenmemiş) HTTP protokolünü kullanarak meşru sunuculardan güncellemeleri indirmeye çalıştığında makinelerin güvenliğinin ihlal edildiğini belirledi. Ele geçirilen yazılım güncellemeleri arasında Tencent QQ, Sogou Pinyin ve WPS Office gibi popüler Çin yazılımlarına yönelik güncellemeler yer alıyor.
Gözlemlenen yürütme zinciri (Kaynak: ESET)
Arka kapının temel amacı, denetleyicisiyle iletişim kurmak ve toplanan verileri dışarı çıkarmaktır; ekran görüntüsü alma, keylogging yapma ve çeşitli bilgileri toplama yeteneğine sahiptir.
Saldırganların müdahale yeteneği, orkestratör ve arka kapının yeni bileşenleri indirmek veya toplanan bilgileri sızdırmak için Baidu’nun sahip olduğu meşru ağlarla iletişim kurması nedeniyle, gerçek altyapılarını anonimleştirmelerine de olanak tanıyor. ESET, NSPX30 tarafından oluşturulan kötü amaçlı ancak meşru görünen trafiğin, aynı zamanda ortadaki düşman saldırılarını da gerçekleştiren bilinmeyen müdahale mekanizması tarafından gerçek saldırganların altyapısına iletildiğine inanmaktadır.
NSPX30 ve Blackwood’u keşfeden ESET araştırmacısı Facundo Muñoz, “Saldırganların kötü amaçlı güncellemeler olarak NSPX30’u tam olarak nasıl sunabildikleri bizim için bilinmiyor; zira saldırganların başlangıçta hedeflerini tehlikeye atmasına olanak tanıyan aracı henüz keşfedemedik” diyor.
“Ancak, bu yetenekleri sergileyen Çin bağlantılı tehdit aktörleriyle olan kendi deneyimlerimize ve Çin bağlantılı başka bir grup olan MustangPanda’ya atfedilen yönlendirici implantlar üzerine yapılan son araştırmalara dayanarak, saldırganların ağlar içerisinde bir ağ implantı yerleştirdiğini tahmin ediyoruz. Muhtemelen yönlendiriciler veya ağ geçitleri gibi savunmasız ağ cihazlarında kurbanların sayısı artıyor” diye açıklıyor Muñoz.