CuckooBees Operasyonu hala aktif ve yakın zamanda Symantec tarafından tespit edildi. Bu sefer CuckooBees, APT41 (diğer adıyla Winnti, Barium, Bronze Atlas ve Wicked Panda) operatörlerinin Hong Kong merkezli şirket ve kuruluşları hedef aldığı tespit edildi.
Siber casusluk grubu APT41, 2007’den beri aktiftir ve internetteki en aktif ve en eski gruplardan biridir. Öte yandan, en az 2019’dan beri CuckooBees Operasyonu çok gizli bir şekilde radar altında faaliyet gösteriyor.
Mağdurların bilgisayarlarından fikri mülkiyet ve diğer hassas bilgileri çalmak için tehdit aktörleri tarafından çok sayıda saldırı gerçekleştirilmiştir.
Devam eden bu kampanyada tehdit aktörleri devlet kurumlarını hedef aldı. Bazı ağlarda saldırganlar bir yıldan fazla süre aktif kaldı ve bu saldırganların ne kadar ısrarcı olduğunu gösterdi.
CuckooArıları Operasyonu
APT41 operatörleri, CuckooBees Operasyonunda Spyder Loader (Trojan.Spyload) kötü amaçlı yazılımını kullandılar ve bu kötü amaçlı yazılımı önceki saldırılarda da kullandılar.
CuckooBees kampanyasında kullanılan Spyder Loader kötü amaçlı yazılımının sürümü, kötü amaçlı yazılımın önceki sürümlerinin tüm eski özelliklerini korudu: –
- sqlite3.dll dosyasının değiştirilmiş bir kopyası
- rundll32.exe
- CryptoPP C++ kitaplığı
Enfeksiyon sürecinin başlangıcında da benzer bir enfeksiyon paterni gözlemlenmiştir.
Teknik Analiz
Günümüzün karmaşık modüler arka kapı dünyasında Spyder Loader, sürekli güncellemeler ve iyileştirmelerle çok güçlü bir araç olarak ortaya çıktı.
64-bit PE DLL, Symantec araştırmacılarının analiz ettiği yükleyici örneğinin bir bileşeni olarak kullanılır ve bu dosyada kullanılan sqlite3.dll’nin değiştirilmiş bir sürümüdür.
İndirme işlemi sırasında kurbanın cihazında Spyder Loader, blobları AES şifrelemesiyle indirir. Spyder Loader ayrıca Mimikatz’ı ve truva atlı zlib DLL modülünü kullanır.
Bu nesnelerin oluşturulması üzerine “wbsctrl.dll” isimli bir payload oluşturulur. Saldırganlar, gelecekteki siber saldırılarda onlara karşı kullanılabilecek güvenli verileri kurbanlardan çaldı.
Aşağıda, içerdiği veri türünden bahsettik: –
- kimlik bilgileri
- Müşteri bilgisi
- Ağ mimarisi hakkında bilgi
Ayrıca, bu varyant, Hong Kong’a yönelik son saldırılarda kullanılan dizeleri gizlemek için ChaCha20 algoritma şifrelemesini kullanır.
Kötü amaçlı yazılım, bırakılan wlbsctrl.dll dosyasını silmenin yanı sıra, analizi önlemek için kötü amaçlı yazılım tarafından oluşturulan yapıları da temizler.
Şu anda, Symantec’teki güvenlik araştırmacıları henüz nihai yükü alamadığından, nihai yük ile ilgili herhangi bir bilgi mevcut değil.
Şimdilik açık olan şu ki, son saldırılar APT41’in uzun süredir yürüttüğü bir siber casusluk kampanyasının parçası gibi görünüyor.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Ücretsiz E-kitap