Tedarik zinciri saldırısı yapmak ve hedeflenen kurbanların sistemlerine Korplug arka kapısını (diğer adıyla PlugX) yerleştirmek amacıyla bilinmeyen bir APT grubunun “Cobra DocGuard” kullandığı tespit edildi.
Cobra DocGuard, kullanıcıların Konsolide Omnibus Bütçe Uzlaştırma Yasası belgelerini yönetmelerine olanak tanıyan yasal bir yazılım paketidir ve Çinli bir şirket olan “EsafeNet” tarafından tasarlanmıştır.
Symantec’teki siber güvenlik uzmanları, “Carderbee” olarak adlandırılan bu bilinmeyen APT grubunun arkasındaki tehdit aktörlerinin, kötü amaçlı yazılım imzalamak için meşru Microsoft sertifikasını kullandığının tespit edildiğini keşfetti.
Cyber Security News ile paylaşılan bir raporda araştırmacılar, tedarik zinciri saldırı kampanyası sırasında bu grup tarafından hedef alınan kurbanların çoğunlukla Hong Kong’dan ve bazılarının Asya’nın diğer bölgelerinden olduğunu doğruladı.
Saldırı Zinciri
Daha önce Symantec Tehdit Avcısı Ekibi, Nisan 2023’te imzalı bir Korplug sürümü keşfetti ancak o sırada bunun Budworm’un (diğer adıyla LuckyMouse, APT27) çalışması olup olmadığını doğrulayamadı.
APT41 ve Budworm da dahil olmak üzere birçok APT grubu “Korplug” arka kapısını kullanıyor ancak araştırmacılar şu anda yalnızca coğrafi konumlarının tanımlandığını, hedeflenen endüstri sektörlerinin ise bilinmediğini doğruladı.
Bu son kampanyada, etkilenen kuruluşlarda yaklaşık 100 bilgisayarda kötü amaçlı etkinlik görüldü. Ancak Cobra DocGuard 2.000 bilgisayarda mevcuttu ve bu senaryo, hedeflenen yük dağıtımını öneriyor.
Virüsün bilgisayarlardaki dağıtım konumu, risk oluşturma yöntemi olarak bir tedarik zinciri saldırısına veya kötü niyetli Cobra DocGuard kurulumuna işaret ediyor.
- csidl_system_drive\program files\esafenet\cobra dog guard client\update
2023 yılı boyunca bu yöntemle birden fazla kötü amaçlı yazılım ailesi ortaya çıktı ve özellikle Microsoft imzalı bir indirici, “update.zip” dosyasını getirerek “Korplug” arka kapısını aşağıdaki konumdan yükledi: –
- http://cdn.stream-amazon[.]com/update.zip
Yukarıda bahsedilen .zip dosyası, content.dll dosyasının sıkıştırmasını açan ve çalıştıran bir Zlib arşividir ve sistem ortamına bağlı olarak x64 ve x86 sürücüleri için bir damlalık görevi görür.
Korplug örneğinin yetenekleri
Aşağıda, Korplug örneğinin tespit edilen tüm yeteneklerinden bahsettik: –
- Komutları cmd aracılığıyla yürütün
- Dosyaları numaralandır
- Çalışan işlemleri kontrol edin
- Dosyaları indir
- Güvenlik duvarı bağlantı noktalarını açın
- Keylogger olarak hareket edin
Üstelik bu kampanyanın arkasındaki tehdit aktörleri oldukça yetenekli, zira bu kampanyanın tüm senaryosu da aynısını gösteriyor. Bu vakada olduğu gibi, tehdit aktörleri tespit edilmekten kaçınmak için yasal olarak imzalanmış kötü amaçlı yazılımı gizlice kullandı.
Bu nedenle, seçici yük dağıtımı ve hedefleme, tamamen dikkatli planlama ve keşif yapılmasını gerektirir.
Uzlaşma Göstergeleri
SHA256 Dosya Karmaları:
- 96170614bbd02223dc79cec12afb6b11004c8edb8f3de91f78a6fc54d0844622
- 19a6a404605be964ab87905d59402e2890460709a1d9038c66b3fbeedc1a2343
- 1ff7b55dde007b7909f43dd47692f7c171caa2897d663eb9db01001062b1fe9d
- 2400d8e66c652f4f8a13c99a5ffb67cb5c0510144b30e93122b1809b58614936
- 2f714aaf9e3e3e03e8168fe5e22ba6d8c1b04cbfa3d37ff389e9f1568a80cad4
- 47b660bbaacb2a602640b5e2c589a3adc620a0bfc9f0ecfb8d813a803d7b75e2
- 5467e163621698b38c2ba82372bac110cea4121d7c1cec096958a4d9eaa44be7
- 7e6d0f14302662f52e4379eb5b69a3749d8597e8f61266aeda74611258972a3d
- 85fc7628c5c7190f25da7a2c7ee16fc2ad581e1b0b07ba4ac33cff4c6e94c8af
- 8bd40da84c8fa5f6f8e058ae7e36e1023aca1b9a9c8379704934a077080da76f
- 8ca135b2f4df6a714b56c1a47ac5baa80a11c6a4fcc1d84a047d77da1628f53f
- 9e96f70ce312f2638a99cfbd3820e85798c0103c7dc06fe0182523e3bf1e2805
- 9fc49d9f4b922112c2bafe3f1181de6540d94f901b823e11c008f6d1b2de218c
- b5159f8ae16deda7aa5d55100a0eac6e5dacd1f6502689b543513a742353d1ea
- b7b8ea25786f8e82aabe4a4385c6142d9afe03f090d1433d0dc6d4d6ccc27510
- b84f68ab098ce43f9cb363d0a20a2267e7130078d3d2d8408bfb32bbca95ca37
- f64267decaa982c63185d92e028f52c31c036e85b2731a6e0bccdb8f7b646e97
Uzak IP adresleri:
- 45.76.179[.]209
- 104.238.151[.]104
URL’ler:
- http://111.231.100[.]228:8888/CDGSunucu3/YükseltmeServisi2
- http://103.151.28[.]11:8090/CDGSunucu3/YükseltmeServisi2
Etki alanları:
- cdn.stream-amazon[.]iletişim
- cdn.ofo[.]AC
- kayabalığı[.]bilgi
- tjj.active-microsoft[.]iletişim
- githubassets.akamaixed[.]açık
- ms-g9-sites-prod-cdn.akamaixed[.]açık
- ms-f7-sites-prod-cdn.akamaixed[.]açık
Bizi GoogleNews, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun. twitterve Facebook.