Çin’in Blackfly gelişmiş kalıcı tehdit (APT) grubu, geçtiğimiz günlerde siber saldırılarla Asya’daki bir holdingin malzeme ve kompozit sektöründeki iki yan kuruluşunu vurdu. Araştırmacılar, fikri mülkiyeti (IP) çalmayı amaçlayan bölgedeki çeşitli sektörlere yönelik daha geniş, “amansız” bir saldırının parçası olduğunu söylüyor.
Symantec’teki (Broadcom Software’e ait) araştırmacılar tarafından bugün yayınlanan bir blog gönderisine göre, Blackfly’ın (APT41, Winnti Group veya Bronze Atlas olarak da bilinir) en son etkinliği geçen yılın sonlarında ve bu yılın başlarında gerçekleşti ve grubu gösteriyor. her zamanki özel kötü amaçlı yazılım hazinesinden çok açık kaynak araçlarına güvenmek. Bu eğilim, bir faaliyet alanı olan bölgeyi hedef alan diğer tehdit grupları tarafından da yansıtılmaktadır. Örneğin geçen hafta Symantec’teki araştırmacılar, bir istihbarat toplama operasyonunda COVID-19 tedavileri ve aşılarıyla ilişkili Asya merkezli kuruluşları hedef alan ve yalnızca açık kaynaklı ve emtia kötü amaçlı yazılım ve araçlarını kullanan Hydrochasma adlı yeni bir tehdit grubunu ortaya çıkardı.
Symantec Threat Hunter’ın baş istihbarat analisti Dick O’Brien, Dark Reading’e bunun Blackfly’ın saldırılarını bağlama oturttuğunu söylüyor. “Bu soruşturma yapbozun küçük bir parçası” diyor. “Daha büyük resim şu ki, birçok cephede oldukça amansız bir istihbarat operasyonu sürüyor gibi görünüyor.”
O’Brien, açık kaynak araçları taktiğinin tespit edilmekten kaçınmalarına yardımcı olduğunu ve üyeleri ABD hükümeti tarafından zaten suçlanmış olan Blackfly söz konusu olduğunda bunun çekici bir teklif olacağını söylüyor.
Dark Reading’e “Açık kaynak araçlara geçiş, birçok saldırganın yaptığını gördüğümüz bir şey” dedi. “Saldırıları ilişkilendirmeyi daha zor hale getiriyor.”
Bir Değil İki Tehdit Grubu
Blackfly, Çin dışında faaliyet gösteren bilinen en eski tehdit gruplarından biridir. Araştırmacılar, grubun başlangıçta oyun endüstrisine saldırarak ün kazandığını, ancak endüstriyel kontrol sistemleri, yarı iletken, telekomünikasyon, ilaç, medya ve reklamcılık, konaklama ve daha fazlası dahil olmak üzere çok çeşitli kuruluş ve sektörleri hedef alacak şekilde geliştiğini söyledi.
Farklı araştırma grupları, APT’yi farklı takma adlar kullanarak izler. Aslında, bazıları APT41 şemsiye etiketini yalnızca Blackfly’ı değil, aynı zamanda Grayfly olarak bilinen başka bir Çin destekli APT’yi belirtmek için kullanır çünkü iki grup çok yakından ilişkilidir. Araştırmacılar, 2020’de ABD hükümetinin her iki grup tarafından gerçekleştirilen yüzlerce siber saldırıyla ilgili suçlamalarla ilgili olarak yedi kişiyi suçladığını ve araştırmacıların söylediğine göre, her ikisiyle de çalıştığı iddia edilen iki Çin uyruklu kişiyi tespit ederek aralarındaki bağlantıyı vurguladı.
O’Brien, güvenlik uzmanlarının zaten tahmin ettiği gibi, APT41 hakkındaki bu iddianamedeki kamuoyu ilgisinin, birden fazla iş sektöründen IP çalma girişiminde saldırısını sürdüren grubu caydırmak için hiçbir şey yapmadığını söylüyor.
“Blackfly ve bazı emsalleri son 12 ayda oldukça aktif oldu” diyor.
Açık Kaynak Siber Saldırı Araçlarına Geçiş
O’Brien, en son saldırılar, araştırmacıların son yıllarda Blackfly’da gördükleri faaliyet kalıplarını sürdürürken, yeni bir yönün, önceki faaliyetlerin ayırt edici özelliği olmayan açık kaynak araçlarının kullanılması olduğunu söylüyor.
Erken Blackfly saldırıları, PlugX/Fast/Korplug, Winnti/Pasteboy ve ShadowPad kötü amaçlı yazılım ailelerinin kullanımıyla ayırt edildi. Winnti arka kapısı ve diğer özel araçlar, son saldırılarda kullanıldı (ekran görüntüleri almak, kimlik bilgilerini boşaltmak, SQL veritabanlarını sorgulamak ve proxy’leri yapılandırmak için), ancak Blackfly ayrıca ilk kez bir açık kaynak, kavram kanıtı (concept-of-concept) kullandı. keyfi bir işlemin bellek dökümünü oluşturmak için ForkPlayground adlı PoC) uygulaması ve halka açık kimlik bilgisi boşaltma aracı Mimikatz.
O’Brien, “Grubun teknik gelişmişliği tutarlı kalsa da, şüphesiz tespit edilmenin bir adım önünde olmak için araç seti düzenli olarak yenileniyor,” diyor.
İşletmeyi Çinli APT’lerden Koruma
Symantec, Blackfly ve IP’yi çalmayı amaçlayan diğer APT’lerden taviz verilmesini önlemeye yardımcı olmak için kurumsal ağ genelinde kapsamlı bir savunma stratejisinin kullanılmasını ve çok faktörlü kimlik doğrulamanın (MFA) benimsenmesini önerir. O’Brien, bunun “potansiyel saldırı zincirinin her noktasında riski azaltmak için çoklu algılama, koruma ve güçlendirme teknolojilerinin kullanılmasını” gerektirdiğini söylüyor.
Kuruluşların ayrıca kurumsal ağ içindeki çift kullanımlı araçların kullanımını izlemesi ve PowerShell’in en son sürümünün dağıtıldığından emin olmasının yanı sıra günlüğe kaydetmeyi etkinleştirmesi ve yalnızca belirli bilinen IP adreslerinden uzak masaüstü protokolüne (RDP) izin vermesi gerektiğini de ekliyor.
O’Brien, yönetici hesabı kullanımının uygun şekilde denetlenmesi ve kontrolünün, kuruluşların saldırılardan kaçınmasına yardımcı olmasının yanı sıra, “yönetici kimlik bilgilerinin çalınmasını ve kötüye kullanılmasını önlemeye yardımcı olmak için” ağdaki idari işler için tek seferlik kimlik bilgilerine yönelik bir politika getirmesine yardımcı olabileceğini söylüyor.
“Yönetici araçları için kullanım profilleri oluşturmanızı da öneririz” diye ekliyor. “Bu araçların çoğu, saldırganlar tarafından bir ağ üzerinden yanal olarak fark edilmeden hareket etmek için kullanılıyor.”