Google Tehdit İstihbarat Grubu (GTIG), TEMP.HEX (Mustang Panda olarak da bilinir) ile ilişkili olduğuna inanılan PRC-Nexus tehdit oyuncusu UNC6384’e atfedilen çok yönlü bir siber casusluk operasyonunu ortaya çıkardı.
Çin’in stratejik çıkarları ile uyumlu olan bu kampanya, öncelikle Güneydoğu Asya’daki küresel varlıklarla birlikte diplomatları hedef aldı, ortadaki düşman (AITM) saldırıları, esir portal kaçırma ve saklı girişleri kolaylaştırmak için dijital olarak imzalanmış kötü amaçlı yazılımlar gibi gelişmiş taktikler kullandı.
Gelişmiş casusluk kampanyası
Saldırganlar, Web trafiğini tehlikeye atarak, mağdurları meşru yazılım güncellemelerini taklit eden kötü niyetli sitelere yönlendirerek, sonuçta kalıcı erişim ve veri söndürme için SOU.SEC Backdoor’u (Plugx varyantı) dağıttılar.
GTIG’nin analizi, Grubun kaçınma ve sosyal mühendislikteki gelişen yeteneklerini vurgulayarak son nokta savunmalarını atlamak için geçerli kod imzalama sertifikalarını kullanan çok aşamalı bir saldırı zincirini ortaya koyuyor.
İşlem, esir bir portal kaçırma ile başlar ve tarayıcıdan yararlanarak, http://www.gstatic.com/generate_204 gibi sert kodlanmış URL’lere, AITM üzerinden trafiği Mediareleaseupdates gibi saldırgan kontrollü alanlara yeniden yönlendirerek yeniden yönlendirir.[.]com, TLS sertifikalarını şifreleyelim.
Mağdurlar, tarayıcı uyarılarını önlemek ve şifreli kötü amaçlı yazılım sunumunu etkinleştirmek için HTTPS şifrelemesiyle birlikte sahte bir “Adobe eklentisi” güncellemesinin kurulmasını gerektiren aldatıcı bir açılış sayfasıyla karşılaşır.
Çok aşamalı kötü amaçlı yazılım teslimi
Etkileşim üzerine, Style3.js’den JavaScript, StaticPlugin olarak izlenen dijital olarak imzalanan bir indirici olan adobeplugins.exe’nin indirilmesini tetikler ve Chengdu Nuoxsin Times Technology Co., Ltd.
9 Mayıs 2025’te imzalanan bu ikili maskeler, bir Microsoft Visual C ++ 2013 yeniden dağıtılabilir yükleyici olarak, Windows COM yükleyici nesnelerini kullanarak BMP dosyası olarak gizlenmiş bir MSI paketini almak için Canonstager DLL’yi yan yükleme yoluyla dağıtıyor.
CNMPaui.exe (meşru bir Canon IJ yazıcı asistanı aracı) aracılığıyla yürütülen CanonStager, GetCurrentDirectoryw, statik analizden kaçan işlevleri çözmek için iş parçacığı yerel depolama (TLS) dizilerini depolanan özel API karma dahil olmak üzere sofistike bir şaşkınlık kullanır.
Ayrıca, dolaylı kod yürütme için özel pencere prosedürleri, mesaj kuyrukları ve wm_showwindow mesajları gibi Windows özelliklerini, gizli örtüşen pencereler oluşturma ve RC4 şifreli sogu.sec yükünü cnmplog.dat’tan şifresini çözmek ve başlatmak için eşzamansız olarak gönderme gibi özellikleri kötüye kullanır.
Bu bellek içi dağıtım, meşru sistem etkinliği ile harmanlanarak disk tabanlı artefakt sağlamaz.
Çok gizli bir arka kapı olan Sogu.sec, HTTPS üzerinden C2 IP 166.88.2’ye iletişim kurarak sistem keşif, dosya transferleri ve uzaktan kabuk yürütme sağlar.[.]90 MSIE 9.0’ı taklit eden özel bir kullanıcı ajanı ile.
GTIG bunu UNC6384’e Güneydoğu Asya hedefleme, DLL yan yükleme ve Paylaşılan C2 altyapısı da dahil olmak üzere TTP örtüşmelerine dayanıyor.
Chengdu nuoksin imzalı kötü amaçlı yazılım kullanımı, PRC-Nexus kümelerinde 25 paletli örnekle 2023’e kadar uzanmakta ve sertifika uzlaşması veya karmaşıklığı hakkında sorular sormaktadır.
Google, devlet destekli uyarılar vererek, güvenli tarama listelerini güncelleyerek ve SECOPS istihbaratını geliştirerek hafifletti.
Savunucular, Mutex KnbgxNGD’ler ve kayıt defteri anahtarları gibi göstergeleri izlerken, gelişmiş güvenli tarama, yama cihazları ve 2 aşamalı doğrulama uygulamaları istenir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | İsim/Açıklama | IOC |
|---|---|---|
| Dosya Hashes (SHA-256) | Adobeplugins.exe | 65c42a7ea18162a92ee982eded91653a5358a7129c7672715ce8ddb6027ec124 |
| 20250509.bmp (MSI) | 329986653AFF40CA85276F8DD0CEFE4EAFE167BD64732D67B06AF4F3349916 | |
| Sertifika parmak izleri (SHA-1) | Mediareleaseupdates[.]com | C874b10180ed59bff96cf79d7559249e9dcf0f90 |
| Adobeplugins.exe | ECA96BD74FB6B22848751E254B6DC9B8E2721F96 | |
| Ağ Göstergeleri | Açılış sayfası | HTTPS[:]// mediareleaseupdates[.]Com/Adobeplugins[.]HTML |
| Javascript | HTTPS[:]// mediareleaseupdates[.]com/stil3[.]JS | |
| MSI Paketi | HTTPS[:]// mediareleaseupdates[.]com/20250509[.]BMP | |
| Hosting IP | 103.79.120[.]72 | |
| C2 IP | 166.88.2[.]90 | |
| SOU.SEC Kullanıcı Ajanı | Mozilla/5.0 (uyumlu; MSIE 9.0; Windows NT 10.0; .NET4.0c; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729) | |
| Ana bilgisayar göstergeleri | Muteks Adı | Knbgxngds |
| RC4 Anahtarı | MQHKVBHWWRLXD | |
| Dosya Yolu | %LocalAppatata%\ dnvjzaxmfo \ | |
| Dosya Yolu | C: \ users \ public \ intelnet \ | |
| Dosya Yolu | C: \ users \ public \ SecurityScan \ |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!