Çin bağlantılı siber casusluk grubu Apt41 Afrika bölgesindeki Hükümet BT hizmetlerini hedefleyen yeni bir kampanyaya atfedildi.
Kaspersky araştırmacıları Denis Kulik ve Daniil Pogorelov, “Saldırganlar dahili hizmetlerin, IP adreslerinin ve kötü amaçlı yazılımlarına gömülü proxy sunucularının adlarını kullandılar.” Dedi. “C2’lerden biri [command-and-control servers] kurbanın altyapısında esir bir SharePoint sunucusuydu. “
APT41, üç düzineden fazla ülkede telekom ve enerji sağlayıcıları, eğitim kurumları, sağlık kuruluşları ve BT enerji şirketleri de dahil olmak üzere birden fazla sektörü kapsayan kuruluşları hedeflemek için bilinen üretken bir Çin ulus-devlet hackleme grubuna atanan takma ad.
Kampanyayı dikkate değer kılan şey, Rus siber güvenlik satıcısının belirttiği gibi, bu özel tehdit oyuncusundan “en az faaliyeti deneyimleyen” Afrika’ya odaklanmasıdır. Bununla birlikte, bulgular Trend Micro’dan önceki gözlemlerle sıraya girer ve kıtanın 2022 sonundan beri kendisini artı işaretlerinde bulduğu.
Kaspersky, isimsiz bir kuruluşun BT altyapısıyla ilişkili birden fazla iş istasyonunda “şüpheli faaliyet” bulduktan sonra, C2 sunucularının kullanılabilirliğini doğrudan veya uzlaştırılmış varlık içindeki dahili bir proxy sunucusu aracılığıyla belirlemek için komutları içeren bir soruşturma bulduktan sonra bir soruşturmaya başladığını söyledi.
Araştırmacılar, “Şüpheli faaliyetin kaynağı, tehlikeye atılan bir ev sahibi olduğu ortaya çıktı.” Diyerek şöyle devam etti: “Bir hizmet hesabı bağlamında ithalat yürütüldü. ATEXEC ve WMIExec modülleri çalışmayı bitirdikten sonra saldırganlar operasyonlarını geçici olarak askıya aldı.”
Kısa bir süre sonra, saldırganların ayrıcalık artışını ve yanal hareketi kolaylaştırmak için ayrıcalıklı hesaplarla ilişkili kimlik bilgilerini hasat ettiği söyleniyor ve sonuçta DLL yan yükleme kullanarak C2 iletişimi için kobalt grevini dağıtıyor.
Kötü niyetli DLL’ler, ev sahibine yüklenen dil paketlerini doğrulamak ve yalnızca aşağıdaki dil paketleri tespit edilmezse yürütmeye devam etmek için bir kontrol içerir: Japon, Kore (Güney Kore), Çin (Anakara Çin) ve Çince (Tayvan).
Saldırı, C2 amaçları için hacklenmiş bir SharePoint sunucusunun kullanımı ile karakterize edilir ve kurban ana bilgisayarlarına yüklenen C#tabanlı kötü amaçlı yazılımlar tarafından çalıştırılan komutlar göndermek için kullanılır.
Kaspersky, “Sunucu ile iletişim kurmak için Agents.exe ve Agentx.exe adlı dosyaları dağıttılar.” “Bu dosyaların her biri aslında birincil işlevi, SharePoint sunucusuna yüklenen komutandler.aspx adlı bir web kabuğundan aldığı komutları yürütmek olan bir C# Trojan’dır.”
Bu yöntem, geleneksel kötü amaçlı yazılım dağıtımını, SharePoint gibi güvenilir hizmetlerin gizli kontrol kanallarına dönüştürüldüğü yerden geçirme taktikleriyle harmanlar. Bu davranışlar, T1071.001 (Web protokolleri) ve T1047 (WMI) dahil olmak üzere, MITER ATT & CK altında kategorize edilen tekniklerle uyumludur ve bu da sadece imza tabanlı araçlar kullanılarak tespit edilmelerini zorlaştırır.
Ayrıca, tehdit aktörleri, ilk keşif sonrası değerli olarak kabul edilen makinelerde takip faaliyeti gerçekleştiren tespit edildi. Bu, harici bir kaynaktan bir kötü amaçlı bir HTML uygulaması (HTA) dosyasını gömülü JavaScript içeren ve MSHTA.EXE kullanarak çalıştırmak için bir cmd.exe komutu çalıştırarak gerçekleştirilir.
Github’ı taklit eden bir alan adı olan harici URL üzerinden teslim edilen yükün kesin doğası (“Github.githubassets[.]Net “) tespitten kaçınmak için şu anda bilinmemektedir. Bununla birlikte, daha önce dağıtılmış komut dosyalarından birinin analizi, ters bir kabuk ortaya çıkarmak için tasarlandığını ve böylece saldırganlara enfekte sistemde komutlar yürütme yeteneği verildiğini göstermektedir.
Ayrıca saldırılarda, hassas verileri toplamak ve detayları SharePoint sunucusu aracılığıyla açıklamak için samançılar ve kimlik bilgisi hasat yardımcı programları da kullanılır. Düşman tarafından dağıtılan bazı araçlar aşağıda listelenmiştir –
- Mobaxterm gibi tarayıcılardan, veritabanlarından ve idari yardımcı programlardan kimlik bilgilerini çalmak için değiştirilmiş bir sürüm de olsa Pillager; kaynak kodu; ekran görüntüleri; sohbet oturumları ve verileri; e -posta mesajları; SSH ve FTP oturumları; yüklü uygulamaların listesi; SystemInfo ve görev listesi komutlarının çıktısı; ve sohbet uygulamalarından ve e -posta istemcilerinden hesap bilgileri
- YANDEX, Opera, Operagx, Vivaldi, Google Chrome, Brave ve CốC CốC gibi web tarayıcılarında kaydedilen indirilen dosyalar ve kredi kartı verileri hakkında bilgi çalmak için ödeme yapın.
- Ham kayıt defteri dosyalarını kopyalamak için rawcopy
- Mimikatz hesap kimlik bilgilerini dökmek için
Kaspersky, “Saldırganlar hem özel olarak inşa edilmiş hem de halka açık araçlardan çok çeşitli.” Dedi. “Özellikle, bir saldırının çeşitli aşamalarında kobalt grevi gibi penetrasyon test araçları kullanıyorlar.”
“Saldırganlar, belirli özellikleri hesaba katmak için kötü amaçlı araçlarını güncelleyerek hedeflerinin altyapısına uyum sağlıyorlar.
Bu operasyon aynı zamanda, tehdit aktörlerinin özel implantlarla birlikte Impacket, Mimikatz ve kobalt grevi gibi kamu çerçevelerini kullandıkları kırmızı takım araçları ve gerçek dünya düşman simülasyonu arasındaki bulanık çizgiyi vurgulamaktadır. Bu örtüşmeler, yanal hareket, kimlik bilgisi erişim ve Windows ortamlarında savunma kaçakçılığına odaklanan algılama ekipleri için zorluklar doğurur.