Orta ve Güney Asya ülkelerindeki telekomünikasyon ve üretim sektörleri, devam eden bir kampanyanın hedefi olarak ortaya çıktı. Eklenti (AK Korplug veya Sogu).
“Yeni varyantın özellikleri her ikisi ile örtüşüyor Bizim Ve Turiyan DLL yan yükleme için aynı meşru uygulamaların kötüye kullanılması, XOR-RC4-RTLDECOMPressBuffer algoritması ve kullanılan RC4 anahtarlarını şifrelemek/şifresini çözmek için kullanılan backroors, “Cisco Talos araştırmacıları Joey Chen ve Takahiro Taceda bu hafta yayınlanan bir analizde.
Siber güvenlik şirketi, Plugx varyantıyla ilişkili yapılandırmanın, Lotus Panda (aka Naikon Apt olarak da bilinen Çin bağlantılı bir tehdit aktörüyle ilişkili bir arka kapı olan yağmur gününde kullanılan aynı yapıyı benimseyen olağan Plugx konfigürasyon formatından önemli ölçüde ayrıldığını belirtti. Muhtemelen Kaspersky tarafından Foundcore olarak izleniyor ve Cycldek olarak adlandırdığı Çince konuşan bir tehdit grubuna atfediliyor.
Plugx, Çin’e hizalanmış birçok hack grubu tarafından yaygın olarak kullanılan modüler bir uzaktan erişim Trojan (sıçan), ancak en önemlisi Mustang Panda (aka havzası, bronz başkan, Camaro Dragon, Earth Preta, Honeymyte, Reddelta, Kırmızı Lik, temas Taus, Tmp.Hex ve Twill Typhoon).
Öte yandan, Turian (Quarian veya Whitebird), Çin ile bağları olan başka bir ileri süren tehdit (APT) grubu tarafından Orta Doğu’yu hedefleyen siber saldırılarda kullanılan bir arka kapı olduğu değerlendirilir (diğer adıyla bulut comcomputating veya takma ejderha) olarak değerlendirilir.
Mağdur paternleri – özellikle telekomünikasyon şirketlerine odaklanma – ve teknik kötü amaçlı yazılım uygulaması, Lotus Panda ve backdoordiplomasi arasındaki olası bağlantıları gösteren ve iki kümenin bir ve aynı olma veya araçlarını ortak bir satıcıdan elde etme olasılığını artıran kanıtlar vermişti.
Şirket tarafından tespit edilen bir olayda, Naikon’un sınırlarını Özbekistan ile paylaşan ve daha önce backdoordiplomasi tarafından seçilen bir ülke olan Kazakistan’da bir telekom firmasını hedef aldığı söyleniyor. Dahası, her iki hack mürettebatının da Güney Asya ülkelerinde sıfır olduğu bulundu.
Saldırı zincirleri, daha sonra Plugx, RainyDay ve Turian yüklerini bellekte şifresini çözmek ve başlatmak için kullanılan kötü niyetli bir DLL’nin yan yüklenmesi için mobil açılır uygulamayla ilişkili meşru bir yürütülebilir dosyayı kötüye kullanmayı içerir. Tehdit oyuncusu tarafından düzenlenen son saldırı dalgaları, Rainyday ile aynı yapılandırma yapısını kullanan ve gömülü bir Keylogger eklentisi içeren Plugx’a yoğun bir şekilde eğildi.
Talos, “Naikon ve backdoordiplomasi arasında net bir bağlantı olduğu sonucuna varamasak da, hedeflerin seçimi, şifreleme/şifre çözme yükü yöntemleri, şifreleme anahtarı yeniden kullanımı ve aynı satıcı tarafından desteklenen araçların kullanımı gibi önemli örtüşen yönler var.” Dedi. Diyerek şöyle devam etti: “Bu benzerlikler, bu kampanyada Çince konuşan bir aktöre orta güven bağlantısı öneriyor.”
Mustang Panda’nın kitap kurdu kötü amaçlı yazılımları ayrıntılı
Açıklama, Palo Alto Networks Birimi 42, 2015 yılından bu yana Mustang Panda oyuncusu tarafından uzlaşmış sistemler üzerinde geniş kontrol elde etmek için kullanılan kitap kurdu kötü amaçlı yazılımlarının iç işleyişine ışık tutuyor. Gelişmiş sıçan, keyfi komutlar yürütmek, dosyaları yüklemek/indirmek, verileri eklemek ve kalıcı erişim sağlamak için özelliklerle donatılmıştır.
Bu Mart ayının başlarında, siber güvenlik satıcısı, kötü amaçlı yazılımları dağıtmak için Güneydoğu Asya Milletleri Birliği’ne (ASEAN) bağlı ülkeleri hedefleyen saldırıları belirlediğini söyledi.
Bookworm, normal ağ trafiğiyle harmanlanacak şekilde C2 amaçları için meşru görünümlü alanlar veya tehlikeye atılmış altyapı kullanır. 2022 sonundan beri Mustang Pana ile ilişkili bilinen bir arka kapı olan Toneshell ile örtüşmelerle paylaşımlar da bulundu.
Plugx ve Toneshell gibi, kitap kurdu dağıtan saldırı zincirleri, yük yükü yürütme için DLL yan yüklemesine dayanır, ancak daha yeni varyantlar, daha sonra kesilen ve yürütülen evrensel olarak benzersiz tanımlayıcı (UUID) dizeleri olarak paketleme kabuk kodunu içeren bir tekniği benimsemiştir.
Ünite 42 araştırmacı Kyle Wilhoit, “Bookworm benzersiz modüler mimarisiyle biliniyor ve temel işlevselliğinin doğrudan komut ve kontrol (C2) sunucusundan ek modüller yükleyerek genişletilmesine izin veriyor.” Dedi. “Lider modülü belirli işlevsellik sağlamak için diğer DLL’lere dayandığı için bu modülerlik statik analizi daha zor hale getiriyor.”
“Diğer görkemli Boğa operasyonlarına paralel olarak çalışan kitap kurdu bu konuşlandırma ve uyarlanması, aktörün cephaneliğindeki uzun vadeli rolünü sergiliyor. Ayrıca, grup tarafından gelişimine ve kullanımına sürekli, uzun vadeli bir bağlılığa işaret ediyor.”