“Weaver Ant” olarak adlandırılan bir Çin-Nexus tehdit oyuncusu tarafından yakın zamanda yapılan bir siber casusluk operasyonu, bir siber güvenlik firması olan Sygnia tarafından ortaya çıkarıldı.
Bu sofistike tehdit oyuncusu, Asya’daki büyük bir telekomünikasyon şirketini hedef aldı, kalıcı erişimi sürdürmek ve casusluğu kolaylaştırmak için web mermileri ve tünelleme teknikleri kullandı.
Operasyon, devlet destekli grupların kaçınma tespitinde ve uzun vadeli ağ varlığına ulaşmada gelişen taktikleri vurgulamaktadır.
Gizli kalıcılık mekanizmaları
Weaver Ant öncelikle iki tür web mermisi kullandı: China Chopper Web Shell’in şifreli bir versiyonu ve yeni bir ‘Inmemory’ web kabuğu.
Şifrelenmiş China Chopper varyant, ağ infiltrasyonu için giriş noktaları olarak hizmet etmek üzere genellikle harici olarak bakan sunuculara dağıtılan Web Uygulaması Güvenlik Duvarı (WAF) algılaması için AES şifrelemesini kullanır.
Sygnia Report’a göre, bu web kabuğu dosya yönetimini, komut yürütmeyi ve veri açığa çıkmasını destekleyerek kötü niyetli etkinlikler için çok yönlü bir araç haline getirir.
Inmemory Web Shell ise, geleneksel güvenlik önlemleriyle tespitten kaçınarak tamamen bellekte yükleri yürütür.
Sabit kodlanmış Gziped Base64 dizesini ‘ELEP.DLL’ adlı taşınabilir bir yürütülebilir dosyaya (PE) kodlar ve JScript kitaplığını kullanarak dinamik olarak yürütür.
Tehdit oyuncusu ayrıca yanal hareketi kolaylaştırmak ve iç kaynaklara erişmek için özyinelemeli bir HTTP tünel aracı kullandı.
Bu araç, platformlar arası uyumluluk için hem ASPX hem de PHP sürümlerini destekleyerek istekleri diğer web sunucularına yönlendirerek çalışır.
Kod çözülmüş parametrelere dayalı curl komutları oluşturur ve yürütür ve farklı web ortamlarında kesintisiz navigasyona izin verir.
Bu uyarlanabilir tünelleme mekanizması Weaver Ant’in operasyonel esnekliği korumasını ve tespitten kaçınmasını sağladı.
Savunma Stratejileri
Bu tür sofistike tehditlere karşı koymak için kuruluşlar bütünsel bir savunma yaklaşımı benimsemelidir.
Bu, sürekli izleme, proaktif yanıt mekanizmaları ve sistematik tehdit avlarını içerir.
Hem miras hem de halka açık cihazlar için sıkı trafik kontrollerinin ve sistem sertleştirme uygulamalarının uygulanması çok önemlidir.
Ayrıca, port yansıtma ve tünel trafiğinin otomatik olarak şifrelenmesi gibi gizli izleme teknikleri, tehdit aktörlerini uyarmadan gizli işlemleri ortaya çıkarmaya yardımcı olabilir.
Bu stratejileri benimseyerek, kuruluşlar Weaver Ant gibi devlet destekli grupların ortaya koyduğu sürekli tehditleri tespit etme ve bunlara karşı koyma yeteneklerini artırabilir.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin