APT (Gelişmiş Kalıcı Tehdit) aktörleri hızlı bir şekilde gelişiyor, araç setlerini ve taktiklerini sürekli olarak geliştiriyor.
Tespit edilmemek için sıfır gün saldırıları gibi gelişmiş tekniklerden yararlanarak güvenlik önlemlerine hızla uyum sağlarlar.
Yeraltı siber suç ekosisteminde yenilik yapma ve işbirliği yapma yetenekleri, APT tehditlerini takip etmeyi ve bunlarla mücadele etmeyi siber güvenlik profesyonelleri için sürekli bir zorluk haline getiriyor.
Symantec’in Tehdit Avcısı Ekibindeki siber güvenlik araştırmacıları yakın zamanda Budworm APT grubunun araç setini geliştirdiğini ve aktif olarak aşağıdaki varlıkları hedef aldığını keşfetti: –
Ağustos 2023’te Budworm APT, her iki saldırıda da özel SysUpdate arka kapısının (SysUpdate DLL inicore_v2.3.30.dll) daha önce görülmemiş yeni bir varyantını kullandı.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Kullanılan Yeni Özel Araçlar
Budworm, bu saldırılarda özel ve kamuya açık araçları kullandı ve öncelikle kimlik bilgileri toplamaya odaklandı. Grubun faaliyetleri saldırı zincirinin başlarında askıya alınmış olabilir.
Budworm, kurban ağlarında SysUpdate’i yürütmek için INISafeWebSSO aracılığıyla DLL dışarıdan yüklemeyi kullanıyor; bu, grup tarafından 2018’den bu yana tespitten kaçınmak için kullanılan bir teknik.
Bunun yanı sıra SysUpdate aşağıda bahsettiğimiz çeşitli yetenekler sunmaktadır: –
- Hizmetleri listele
- Hizmetleri başlat
- Hizmetleri durdur
- Hizmetleri sil
- Ekran görüntüleri al
- Süreçlere göz atın
- Süreçleri sonlandır
- Sürücü bilgilerinin alınması
- Dosya yönetimi
- Komut yürütme
Trend Micro, Mart 2023’te Budworm’un Windows benzeri yeteneklere sahip Linux SysUpdate’ini bildirdi ve bu, 2020’den beri Budworm’un geliştirme araç kutusunun bir parçasıydı.
Tehdit aktörlerinin kullandığı tüm araçlardan aşağıda bahsettik: –
- Reklam Bul
- Kıvırmak
- SırlarDökümü
- Şifre Damper
Budworm, 2013’ten bu yana aktif olan ve dünya çapında farklı sektörlerdeki yüksek değerli mağdurları hedef alan kalıcı bir APT grubudur. Faaliyetleri arasında Ekim 2022’de HyperBro kötü amaçlı yazılımı için DLL yüklemesi kullanılarak ABD eyalet yasama organının ihlali yer alıyor.
Budworm’un son kampanyasında grup, tipik istihbarat toplama odaklarıyla tutarlı olduğu için bir Asya hükümetini ve Orta Doğu telekomunu hedef aldı.
Budworm’un SysUpdate ve DLL dışarıdan yükleme gibi bilinen teknikleri ve araçları kullanması, tespit riskine rağmen güvenlerinin sinyalini veriyor.
Ağustos 2023’te yeni bir SysUpdate sürümünün ortaya çıkması, araç seti gelişiminin devam ettiğini ve mevcut etkinliklerinin olduğunu gösteriyor.
IOC’ler
SHA256 dosya karmaları
- c501203ff3335fbfc258b2729a72e82638719f60f7e6361fc1ca3c8560365a0e — Meşru INISafeWebSSO uygulaması
- c4f7ec0c03bcacaaaa8864b715eb617d5a86b5b3ca6ee1e69ac766773c4eb00e6 — SysArka kapıyı güncelle
- 551397b680da0573a85423fbb0bd10dac017f061a73f2b8ebc11084c1b364466 — Şifre boşaltma aracı
- df571c233c3c10462f4d88469bababe4c57c21a52cca80f2b1e1af848a2b4d23 — Hacktool
- c3405d9c9d593d75d773c0615254e69d0362954384058ee970a3ec0944519c37 — SecretsDump
- f157090fd3ccd4220298c06ce8734361b724d80459592b10ac632acc624f455e — AdFind
- ee9dfcea61282b4c662085418c7ad63a0cbbeb3a057b6c9f794bb32455c3a79e — Kıvırma
850’den fazla üçüncü taraf uygulamaya hızla yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.