Siber güvenlik araştırmacıları, Çin bağlantılı yeni bir tehdit oyuncusuna ışık tuttular. Toprak alux Bu, Hükümet, Teknoloji, Lojistik, Üretim, Telekomünikasyon, BT hizmetleri ve Asya-Pasifik (APAC) ve Latin Amerika (Latam) bölgelerindeki perakende satış gibi çeşitli kilit sektörleri hedeflemiştir.
Trend mikro araştırmacılar Lenart Bermejo, Ted Lee ve Theo Chen Pazartesi günü yayınlanan teknik raporda, “Etkinliğinin ilk görüşü 2023’ün ikinci çeyreğindeydi; o zamanlar, ağırlıklı olarak APAC bölgesinde gözlendi.” Dedi. “2024’ün ortasında, Latin Amerika’da da tespit edildi.”
Tayland, Filipinler, Malezya, Tayvan ve Brezilya gibi çekişmeli kolektif ülkelerin temel hedefleri.
Enfeksiyon zincirleri, internete maruz kalan web uygulamalarında savunmasız hizmetlerin kullanımı ile başlar, bunları Godzilla Web kabuğunu, Backdoors Vargeit ve Cobeon (diğer adıyla Cobalt Strike Beacon) da dahil olmak üzere ek yüklerin dağıtılmasını kolaylaştırmak için kullanmak için kullanır.
VargeIT, keşif, toplama ve eksfiltrasyonu kolaylaştırmak için araçları doğrudan komut ve kontrol (C&C) sunucusundan (“mspaint.exe”) yeni ortaya çıkan bir Microsoft Paint işlemine yükleme olanağı sunar.
Araştırmacılar, “Vargeit aynı zamanda Earth Alux’un yanal hareket ve ağ keşfi gibi çeşitli görevler için ek araçlar kullandığı başlıca yöntemdir.” Dedi.
Burada bahsetmeye değer bir nokta, Vargeit’in birinci, ikinci veya daha sonraki aşamalı bir arka kapı olarak kullanılırken, COBEACON’un birinci aşama arka kapı olarak kullanılmasıdır. İkincisi, Masqloader olarak adlandırılan bir yükleyici veya RSBInject aracılığıyla Pas Tabanlı Komut Sırası Shellcode Loader aracılığıyla başlatılır.
Masqloader’ın daha sonraki yinelemeleri, pencerelerde çalışan şüpheli işlemleri tespit etmek için güvenlik programları tarafından eklenen herhangi bir NTDLL.dll kancalarının üzerine yazan bir anti-API kanca tekniği uygulanarak gözlemlenmiştir, böylece içindeki kötü amaçlı yazılım ve gömülü yükün radarın altında uçmasına izin verir.
Vargeit’in yürütülmesi, DLL yan yükleme olarak bilinen bir teknik kullanılarak yürütülen ve farklı bir klasörde bulunan şifrelenmiş bir yükü çalıştırmak için kullanılan bir yükleyici bileşeni de dahil olmak üzere daha fazla aracın dağıtılmasıyla sonuçlanır.
İkinci yük, railload’ı başlatmak için planlanmış bir görev oluşturmanın yanı sıra, tehlikeye atılan ana bilgisayarda railload artefaktları ile ilişkili zaman damgalarını değiştiren tren belirleyici olarak adlandırılan bir kalıcılık ve zamanlama modülüdür.
 |
| Vargeit ve kontrolör etkileşimi |
Trend Micro, “Masqloader, Earth Alux dışında diğer gruplar tarafından da kullanılıyor.” Dedi. “Ayrıca, Masqloader’ın kod yapısındaki railsetter ve railload gibi diğer araçlara kıyasla fark, Masqloader’ın gelişiminin bu araç setlerinden ayrı olduğunu gösteriyor.”
VargeIT’in en belirgin yönü, HTTP, TCP, UDP, ICMP, DNS ve Microsoft Outlook üzerinden C&C iletişimi için 10 farklı kanalı destekleme yeteneğidir, bu da sonuncusu, bir saldırgan postası kutusunun taslakları kullanılarak önceden belirlenmiş bir biçimde komutları değiştirmek için grafik API’sını kullanır.
Spesifik olarak, C&C sunucusundan gelen mesaj R_ ile hazırlanırken, arka kapıdan gelenler P_ ile ön eklenir. Geniş işlevleri arasında kapsamlı veri toplama ve komut yürütme, bu da onu tehdit aktörünün cephaneliğinde güçlü bir kötü amaçlı yazılım haline getiriyor.
Trend Micro, “Earth Alux, Railload ve Railsetter ile çeşitli testler yapıyor.” Dedi. “Bunlar, algılama testleri ve DLL yan yükleme için yeni ana bilgisayarlar bulma girişimlerini içerir. DLL yan yükleme testleri, Çince konuşan topluluk içinde popüler olan açık kaynaklı bir araç olan Zeroeye, exe dosyalarının yan yükleme için istismar edilebilecek ithal DLL’ler için içe aktarma tablolarını tarar.”
Hacking grubunun, araçlarının hedef ortamlara uzun vadeli erişimi sürdürecek kadar gizli olmasını sağlamak için Çince konuşan topluluk tarafından yaygın olarak kullanılan başka bir test aracı olan Virestest’i de kullandığı bulunmuştur.
Araştırmacılar, “Earth Alux, özellikle APAC bölgesinde ve Latin Amerika’da bir dizi sektörü sızdırmak ve tehlikeye atmak için çeşitli bir araç setinden ve gelişmiş tekniklerden yararlanan sofistike ve gelişen bir siber boyama tehdidini temsil ediyor. Diyerek şöyle devam etti: “Grubun araçlarının devam eden testi ve geliştirilmesi, yeteneklerini geliştirme ve algılamadan kaçınma taahhüdünü gösteriyor.”