Çin Halk Cumhuriyeti’ne bağlı gelişmiş bir siber casusluk grubu olan APT24, hedeflenen kuruluşlara kalıcı ağ erişimi sağlayan, oldukça karmaşık bir birinci aşama indirici olan BadAudio’yu sunan üç yıllık aralıksız bir kampanya başlattı.
Tehdit aktörü, geniş stratejik ağ ihlallerinden Tayvan merkezli kuruluşlara odaklanan hassas hedefli saldırılara geçerek olağanüstü bir uyum yeteneği sergiledi.
Grubun operasyonel evrimi, bölgesel dijital pazarlama firmalarını hedef alan tedarik zinciri ihlalleri ve kurumsal güveni istismar etmek için tasarlanmış hedef odaklı kimlik avı kampanyaları da dahil olmak üzere birden fazla saldırı vektörünü birleştirme yönünde endişe verici bir trendi ortaya koyuyor.
BadAudio’nun ortaya çıkışı, APT24’ün teknik yeteneklerinde önemli bir artışı temsil ediyor. Grup, Kasım 2022’den itibaren, şüphelenmeyen ziyaretçileri saldırganın kontrolündeki altyapıya yönlendiren kötü amaçlı JavaScript yükleri enjekte ederek yirmiden fazla meşru web sitesini silah haline getirdi.
.webp)
Bu su kuyusu yaklaşımı, grubun gelişmiş parmak izi alma teknikleriyle belirlenen kurbanları seçici bir şekilde hedef alırken geniş bir ağ oluşturma isteğini gösteriyor.
Kötü amaçlı yazılımın dağıtım metodolojisi, tehdit aktörünün giderek daha karmaşık hale gelen savunma önlemlerine karşı operasyonel etkinliği sürdürme konusundaki kararlılığını yansıtacak şekilde sürekli olarak gelişti.
Google Cloud güvenlik analistleri, önceki APT24 kampanyalarıyla tutarlı kalıpları fark ettikten sonra BadAudio kötü amaçlı yazılımını belirledi.
Araştırmacılar, kötü amaçlı yazılımın, sabit kodlu komut ve kontrol sunucularından AES şifreli yükleri indirmek, şifresini çözmek ve yürütmek için tasarlanmış, C++ ile yazılmış özel bir birinci aşama indirici olarak çalıştığını belirtti.
Kötü amaçlı yazılım, ana bilgisayar adı, kullanıcı adı ve sistem mimarisi dahil olmak üzere temel sistem bilgilerini sessizce topluyor, ardından bu verileri şifreliyor ve saldırgan tarafından kontrol edilen uç noktalara gönderilen çerez parametrelerinin içine yerleştiriyor.
.webp)
Bu ince işaret tekniği, geleneksel ağ tabanlı algılama yaklaşımlarını karmaşık hale getirerek, güvenlik uyarılarını tetiklemeden uzun süreli kalıcılığa olanak tanır.
Teknik gelişmişlik
BadAudio’nun içerdiği teknik gelişmişlik, bir programın doğal mantık yapısını sistematik olarak ortadan kaldıran gelişmiş bir gizleme tekniği olan kontrol akışı düzleştirmeyi gösterir.
Kötü amaçlı yazılım, meşru uygulamalar aracılığıyla yürütme elde etmek için DLL Arama Sırasının Ele Geçirilmesinden yararlanan kötü amaçlı bir Dinamik Bağlantı Kitaplığı olarak kendini gösteriyor.
En yeni varyantlar, meşru yürütülebilir başlangıç girişleri yoluyla yerleştirme ve kalıcılık mekanizmalarını otomatikleştiren VBS, BAT ve LNK dosyalarının yanı sıra BadAudio DLL’lerini içeren şifrelenmiş arşivleri kullanır.
.webp)
Yürütme sonrasında, sabit kodlu AES anahtarları kullanılarak şifresi çözülen sonraki yüklerin, belirlenen örneklerde Cobalt Strike Beacon olduğu doğrulandı ve güvenliği ihlal edilmiş ağlara tam uzaktan erişim yetenekleri sağlandı.
APT24 yakın zamanda geniş fırsatçı saldırılar yerine daha hedefli dağıtım mekanizmalarına yöneldi. Tayvan’daki bölgesel dijital pazarlama firmalarını hedef alan tedarik zinciri uzlaşmaları, grubun aynı anda birden fazla kuruluşu etkileyen karmaşık saldırılar gerçekleştirmesine olanak sağladı.
Hayvan kurtarma kuruluşlarından geldiği iddia edilen yanıltıcı e-postalar da dahil olmak üzere sosyal mühendislik taktiklerinden yararlanan kimlik avı kampanyaları, saldırganların kontrolündeki altyapılardan doğrudan kötü amaçlı yazılım indirmelerine neden oluyor.
Grup, şifrelenmiş arşivleri dağıtmak için Google Drive ve OneDrive dahil olmak üzere meşru bulut depolama platformlarından yararlanarak, güvenilir hizmetleri kötü amaçlarla kötüye kullanma istekliliğini ortaya koydu.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
