Çin Bağlantılı Bronz Starlight Grubu, Kobalt Vurucu İşaretleriyle Kumar Sektörünü Hedefliyor


17 Ağu 2023THNSiber Saldırı / Kötü Amaçlı Yazılım

Kobalt Saldırı İşaretleri

Çin kaynaklı devam eden bir siber saldırı kampanyası, güvenliği ihlal edilmiş sistemlere Cobalt Strike işaretlerini yerleştirmek için Güneydoğu Asya kumar sektörünü hedefliyor.

Siber güvenlik firması SentinelOne, taktiklerin, tekniklerin ve prosedürlerin, takip edilen bir tehdit aktörünün müdahalesine işaret ettiğini söyledi. bronz yıldız ışığı (diğer adıyla Emperor Dragonfly veya Storm-0401), kısa ömürlü fidye yazılımı ailelerinin casusluk amaçlarını gizlemek için bir sis perdesi olarak kullanılmasıyla bağlantılıdır.

Güvenlik araştırmacıları Aleksandar Milenkoski ve Tom Hegel bugün yayınlanan bir analizde, “Tehdit aktörleri, Cobalt Strike işaretlerini dağıtmak için DLL hırsızlığına karşı savunmasız Adobe Creative Cloud, Microsoft Edge ve McAfee VirusScan yürütülebilir dosyalarını kötüye kullanıyor.”

Ayrıca kampanyanın, ChattyGoblin Operasyonu adı altında ESET tarafından izlenen bir izinsiz giriş seti ile örtüştüğünü belirtmekte fayda var. Buna karşılık, bu aktivite, bir JavaScript arka kapısını dağıtmak için Comm100 Canlı Sohbet uygulaması için trojenleştirilmiş bir yükleyiciden yararlanan ve geçen yıl gün ışığına çıkan bir tedarik zinciri saldırısıyla ortak noktalara sahip.

Siber güvenlik

Kesin bir gruba atıf, birbirine bağlı ilişkiler ve kapsamlı altyapı ve çeşitli Çinli ulus-devlet aktörleri arasında yaygın olan kötü amaçlı yazılım paylaşımı nedeniyle bir sorun olmaya devam ediyor.

Saldırıların, Alibaba kovalarından ikinci aşama bir ZIP arşivi almak üzere yapılandırılmış bir .NET kötü amaçlı yazılım yükleyicisini indirmek için sohbet uygulamaları için değiştirilmiş yükleyiciler kullandığı biliniyor.

ZIP dosyası, DLL arama sırasını ele geçirmeye karşı savunmasız meşru bir yürütülebilir dosyadan, başlatıldığında yürütülebilir dosya tarafından yandan yüklenen kötü amaçlı bir DLL’den ve agent.data adlı şifreli bir veri dosyasından oluşur.

Özellikle bu, bir Cobalt Strike işaretini uygulayan veri dosyasına katıştırılmış kodun şifresini çözmek ve yürütmek için DLL hırsızlığına duyarlı Adobe Creative Cloud, Microsoft Edge ve McAfee VirusScan yürütülebilir dosyalarının kullanılmasını gerektirir.

Araştırmacılar, “Yükleyici, DLL hırsızlığına karşı savunmasız yasal yürütülebilir dosyalar tarafından yandan yükleme yoluyla yürütülür ve şifreli bir dosyada depolanan bir yükü aşamalandırır.”

Siber güvenlik

SentinelOne, .NET kötü amaçlı yazılım yükleyicilerinden birinin (“AdventureQuest.exe”), bir noktada imzalama anahtarının çalındığını gösteren, Ivacy VPN adlı Singapur merkezli bir VPN sağlayıcısı tarafından verilen bir sertifika kullanılarak imzalandığını söyledi. Digitcert o zamandan beri iptal edildi Haziran 2023 itibariyle sertifika.

Yandan yüklenen DLL dosyaları, APT10, Bronze Starlight ve TA410 gibi Çin merkezli gruplar tarafından yaygın olarak kullanılan özel bir kötü amaçlı yazılım yükleyicisi olan HUI Loader türevleridir. APT10 ve TA410’un birbirleriyle davranışsal ve takım örtüşmelerini paylaştığı söyleniyor, ilki ayrıca Earth Tengshe olarak adlandırılan başka bir kümeyle ilgili.

Araştırmacılar, “Çin-nexus tehdit aktörleri geçmişte sürekli olarak kötü amaçlı yazılım, altyapı ve operasyonel taktikler paylaştı ve bunu yapmaya devam ediyor” dedi ve faaliyetlerin “Çin tehdit ortamının karmaşık doğasını gösterdiğini” ekledi.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link