Çin bağlantılı ileri düzey kalıcı tehdit grubu APT41’in, Tayvan’da ileri düzey bilgi işlem ve ilgili teknolojiler üzerine araştırmalar yürüten hükümete bağlı bir enstitüyü tehlikeye attığı görülüyor.
Saldırı, Temmuz 2023’te başladı ve tehdit aktörü, kurban ortamına belirsiz yollarla ilk erişimi elde etti. O zamandan beri, iyi bilinenler de dahil olmak üzere birden fazla kötü amaçlı yazılım aracı dağıttı. ShadowPad uzaktan erişim Truva Atı (Sıçan), Cobalt Strike uzlaşma sonrası aracıve 2018 Windows uzaktan kod yürütme güvenlik açığını kullanarak kötü amaçlı yazılım enjekte etmek için özel bir yükleyici (CVE-2018-0824).
APT41, birçok satıcının, 2012’ye kadar uzanan, dünya çapında çok çeşitli siber casusluk ve finansal amaçlı siber saldırılara karışmış Çin bağlantılı tehdit gruplarının gevşek bir kolektifini izlemek için kullandığı bir niteliktir. Grubun üyeleri arasında şunlar yer almaktadır: Kötü Panda, Winnti, Baryumve SuckFly son yıllarda ABD ve diğer birçok ülkedeki kuruluşların ticari sırlarını, fikri mülkiyetlerini ve diğer hassas verilerini yağmaladı ve çaldı.
En son, Mandiant gözlemlediğini bildirdi teknoloji, eğlence ve otomotiv sektörlerindeki küresel nakliye ve lojistik şirketlerini ve kuruluşlarını hedefleyen grubun üyeleri. ABD hükümeti birkaç üyeyi suçladı 2020’de Chengdu merkezli APT41’in piyasaya sürülmesi, onu pek yavaşlatmadı.
Akademik Araştırma: Değerli Bir Siber Hedef
Cisco Talos araştırmacıları, geçen yıl Tayvan araştırma enstitüsünün ağ ortamında PowerShell betiklerini indirme ve yürütme girişimlerini içeren anormal aktiviteyi araştırırken bu ihlali keşfettiler.
Talos araştırmacıları Joey Chen, Ashley Shen ve Vitor Ventura, “Kuruluş tarafından yürütülen araştırma ve geliştirme çalışmalarının niteliği, onu kendilerine ilgi duyan özel ve hassas teknolojileri elde etmeye adanmış tehdit aktörleri için değerli bir hedef haline getiriyor” dedi. bu haftaki bir raporda şöyle denildiSaldırı sırasında APT41 saldırganlarının hedef ortamda bulunan üç sisteme girdiğini ve oradan en azından bazı belgeleri çaldığını söylediler.
ShadowPad, araştırmacıların ilk olarak bilgisayara gömülü olarak keşfettikleri kötü amaçlı yazılımdır. NetSarang Computer’ın Xmanager’ının kaynak kodu 2017’de sunucu yönetim yazılımı. Bu tedarik zinciri saldırısı birkaç NetSarang müşterisini etkiledi APAC bölgesinde. Başlangıçta araştırmacılar, APT41’in arka kapının tek kullanıcısı olduğuna inanıyorlardı. Ancak yıllar geçtikçe, birden fazla grup tanımlandı — hepsi Çin bağlantılı — RAT’ı çok sayıda siber casusluk kampanyasında ve yazılım tedarik zinciri saldırısında kullandılar.
Tayvanlı araştırma enstitüsüne yapılan saldırıda APT41, ShadowPad’in iki farklı yinelemesini kullandı; bunlardan biri, “Dağılım Arısı,” ve bir diğeri de güncelliğini yitirmiş ve güvenlik açığı bulunan bir sürümü kullanıyordu Microsoft Giriş Yöntemi Düzenleyicileri (IME), Cisco Talos araştırmacıları tarafından söylendi.
ShadowPad ve Cobalt Strike Casusluk Çabalarını Sabitliyor
Saldırganlar, kurban ağını haritalamak, ana bilgisayarlar hakkında veri toplamak ve aynı ağdaki diğer istismar edilebilir sistemleri bulmaya çalışmak için ShadowPad’i kullandılar. Cisco Talos ayrıca APT’nin, Mimikatz ve WebBrowserPassView gibi araçları kullanarak, tehlikeye atılmış ortamdan Web tarayıcılarında depolanan parolaları ve kullanıcı kimlik bilgilerini topladığını buldu.
Araştırmacılar, “Çevreden aktör, tehlikeye atılmış sistemlerden kullanıcı hesapları, dizin yapısı ve ağ yapılandırmaları hakkında bilgi edinmek için ‘net’, ‘whoami’, ‘quser’, ‘ipconfig’, ‘netstat’ ve ‘dir’ komutlarını kullanmak da dahil olmak üzere çeşitli komutlar yürütüyor,” dedi. “Ek olarak, sistemdeki yazılım envanteri koleksiyonunun mevcut durumunu almak için kayıt defteri anahtarına sorgu da gözlemledik.”
Saldırı zincirlerinin bir parçası olarak, tehdit aktörleri ayrıca GitHub projesinden klonladıkları bir yükleyici kullanarak kurban ağında Cobalt Strike uzlaşma sonrası aracını da konuşlandırdılar. Bu, antivirüs algılama araçlarından kaçınmak için tasarlanmıştır.
Araştırmacılar, “Bu Cobalt Strike beacon kabuk kodunun bir resimde gizlenmek için steganografi kullandığını ve bu yükleyici tarafından yürütüldüğünü vurgulamak önemlidir,” dedi. “Başka bir deyişle, indirme, şifre çözme ve yürütme rutinlerinin hepsi bellekte çalışma zamanında gerçekleşir.”