Çin destekli tehdit aktörü Earth Baku, 2022’nin sonlarından itibaren hedef alanını Hint-Pasifik bölgesinin ötesine, Avrupa, Orta Doğu ve Afrika’yı da kapsayacak şekilde çeşitlendirdi.
Faaliyetin bir parçası olarak yeni hedeflenen ülkeler arasında İtalya, Almanya, BAE ve Katar yer alırken, Gürcistan ve Romanya’da da şüpheli saldırılar tespit edildi. Hükümetler, medya ve iletişim, telekomünikasyon, teknoloji, sağlık ve eğitim, saldırı setinin bir parçası olarak seçilen sektörlerden bazılarıdır.
Trend Micro araştırmacıları Ted Lee ve Theo Chen geçen hafta yayınlanan bir analizde, “Grup, son saldırılarında araçlarını, taktiklerini ve prosedürlerini (TTP’ler) güncelledi, saldırılar için giriş noktası olarak IIS sunucuları gibi halka açık uygulamaları kullandı ve ardından kurbanın ortamına gelişmiş kötü amaçlı yazılım araç setleri yerleştirdi” dedi.
Bulgular, Zscaler ve Google’ın sahibi olduğu Mandiant’ın yakın zamanda yayınladığı raporlara dayanıyor. Bu raporlarda tehdit aktörünün DodgeBox (diğer adıyla DUSTPAN) ve MoonWalk (diğer adıyla DUSTTRAP) gibi kötü amaçlı yazılım ailelerini kullandığı da ayrıntılı olarak açıklanıyor. Trend Micro, bu kötü amaçlı yazılımlara StealthReacher ve SneakCross adlarını verdi.
APT41 ile ilişkilendirilen bir tehdit aktörü olan Earth Baku, Ekim 2020’den beri StealthVector’ı kullanmasıyla biliniyor. Saldırı zincirleri, daha sonra takip eden yükleri iletmek için kullanılan Godzilla web kabuğunu düşürmek için halka açık uygulamaların istismarını içeriyor.
StealthReacher, Google hizmetlerinden yararlanarak komut ve kontrol (C2) iletişimi sağlayan ScrambleCross’un muhtemel halefi ve modüler bir eklenti olan SneakCross’u başlatmaktan sorumlu olan StealthVector arka kapı yükleyicisinin geliştirilmiş bir sürümü olarak sınıflandırıldı.
Saldırılar ayrıca iox, Rakshasa ve Tailscale olarak bilinen bir Sanal Özel Ağ (VPN) hizmeti gibi diğer istismar sonrası araçların kullanımıyla da karakterize edilir. Hassas verilerin MEGA bulut depolama hizmetine sızdırılması, MEGAcmd adlı bir komut satırı yardımcı programı aracılığıyla gerçekleştirilir.
Araştırmacılar, “Grup, arka kapı bileşenlerini gizlice fırlatmak için StealthVector ve StealthReacher gibi yeni yükleyiciler kullandı ve en son modüler arka kapıları olarak SneakCross’u ekledi” dedi.
“Earth Baku ayrıca, özel bir iox aracı, Rakshasa, kalıcılık için TailScale ve verimli veri sızdırma için MEGAcmd dahil olmak üzere, sömürü sonrası birkaç araç kullandı.”