Araştırmacılar, Çin bağlantılı bir gelişmiş kalıcı tehdit (APT) grubunun, yazılım satıcısı güncelleme mekanizmalarını istismar etmek için bir İnternet servis sağlayıcısını (İSS) tehlikeye attığını buldu DNS zehirlenmesi kullanarakSaldırılar, Macma arka kapısının yeni varyantlarının yanı sıra, saldırıya uğramış ağlardan hassas verileri sızdırmak için sömürü sonrası kötü amaçlı yazılımlar içeriyordu.
Volexity’deki araştırmacılar şunu keşfetti: Evasive Panda’nın saldırısıStormBamboo olarak takip ettikleri ve DaggerFly olarak da bilinen bir tehdit grubu olan 2023 yılının ortalarında birden fazla sistemin kötü amaçlı yazılımlarla enfekte olduğunu tespit ettiklerinde, son blog yazısıAraştırmacılar sonunda saldırıları takip ettiler son derece aktif Çinli APTYazılım satıcıları için otomatik yazılım güncelleme kanallarına bağlı belirli alan adları için DNS sorgu yanıtlarını değiştirdiğini tespit ettiklerini söylediler.
“StormBamboo, HTTP gibi güvenli olmayan güncelleme mekanizmaları kullanan ve yükleyicilerin dijital imzalarını düzgün bir şekilde doğrulamayan yazılımları hedef alıyor gibi görünüyor,” diye yazdı Volexity araştırmacıları Ankur Saini, Paul Rascagneres, Steven Adair ve Thomas Lancaster gönderide. “Bu nedenle, bu uygulamalar güncellemelerini almaya gittiğinde, amaçlanan güncellemeyi yüklemek yerine, Macma ve Pocostick (diğer adıyla MGBot) dahil ancak bunlarla sınırlı olmamak üzere kötü amaçlı yazılımlar yüklüyorlardı.”
Macma, Evasive Panda tarafından sıklıkla kullanılan bir arka kapıdır ve ilk olarak 2021’de Google TAG tarafından ayrıntılı olarak açıklanmıştır, ancak keşfedilmeden önce birkaç yıl kullanılmıştır. En son varyant, hem Macma’nın hem de Hile MacOS kötü amaçlı yazılımıVolexity’ye göre, araştırmacılar ayrıca kurbanın posta verilerini sızdırmak için kötü amaçlı tarayıcı uzantısı Reloadext’i dağıtmak için istismar sonrası aktivite tespit ettiler.
DNS İsteklerini Zehirleme
Volexity, araştırmacıların araştırdığı Evasive Panda’nın HTTP otomatik güncelleme mekanizması aracılığıyla kötü amaçlı yazılım göndermek için DNS zehirlenmesini kullandığı birkaç olaydan birini özetledi. Araştırmacılar, saldırının meşru ana bilgisayar adları için yanıtları zehirlediğini ve daha sonra ikinci aşama komuta ve kontrol (C2) sunucuları olarak kullanıldığını söyledi.
DNS zehirlenmesi bir türdür DNS kötüye kullanımı bir saldırganın DNS kayıtlarını zehirleyerek ağ iletişimlerini kendi kontrolündeki bir sunucuya yönlendirdiği ve kullanıcılara iletilen bilgileri çalıp manipüle ettiği durum. Bu durumda, APT zehirlenen DNS kayıtlarını hedeflenen kuruluşun İSS düzeyinde olan 103.96.130.107 IP adresindeki Hong Kong’daki saldırgan tarafından kontrol edilen bir sunucuya çözümlemek için kullandı.
Araştırmacılar, otomatik güncellemelerin kötüye kullanılmasının ardındaki mantığın hedef alınan tüm uygulamalar için aynı olduğunu belirtti. Meşru uygulama, en son uygulama sürümünü ve yükleyiciye giden bir bağlantıyı içeren metin tabanlı bir dosyayı almak için bir HTTP isteği gerçekleştirir.
Araştırmacılar, “Saldırgan, belirli bir DNS adı için DNS yanıtlarını kontrol edebildiğinden, bu tasarımı kötüye kullanarak HTTP isteğini sahte bir metin dosyası ve kötü amaçlı bir yükleyici barındıran, kontrol ettikleri bir C2 sunucusuna yönlendiriyor” diye yazdı.
Saldırılarda APT, kötü amaçlı yazılımları itmek için adımlarında farklı karmaşıklık düzeyleri kullanan “güvensiz güncelleme iş akışları” ile birden fazla yazılım satıcısını hedef aldı. Örneğin, satıcılardan biri olan 5Kplayer, uygulama her başlatıldığında YoutubeDL’nin yeni bir sürümünün mevcut olup olmadığını otomatik olarak kontrol eden ikili bir iş akışı kullanıyor.
Yeni bir sürüm mevcutsa, işlem bunu belirtilen URL’den indirir ve ardından meşru uygulama bunu yürütür. Evasive Panda saldırısında, yeni bir güncellemenin mevcut olduğunu belirten değiştirilmiş bir yapılandırma dosyasını barındırmak için DNS zehirlenmesini kullandı ve bu da YoutubeDL yazılımının, kötü amaçlı kodla arka kapıya alınmış olan APT sunucusundan bir yükseltme paketi indirmesiyle sonuçlandı.
Dikkat: İşyerinde “Yüksek Nitelikli” APT
Volexity, ağı engellenen İSS’yi bilgilendirdi ve onunla çalıştı DNS zehirlenmesi için kullanılırAraştırmacılar, İnternet servis sağlayıcısının soruşturma başlattığını ve çeşitli ağ bileşenlerini çevrimdışı hale getirdiğini, bunun da kötü amaçlı faaliyeti durdurduğunu söyledi.
“Bu süre zarfında, hangi cihazın tehlikeye atıldığını tam olarak tespit etmek mümkün olmadı, ancak altyapının çeşitli bileşenleri güncellendi veya çevrimdışı bırakıldı ve etkinlik durduruldu” diye yazdılar.
Asya genelinde Çin devletiyle ilgilenen kuruluşları hedef alan Evasive Panda’nın kötü niyetli amaçlar için meşru yazılım güncelleme kanallarını kullanması bu saldırılar ilk kez olmuyor.
Geçtiğimiz yılın nisan ayında ESET araştırmacıları siber casusluk saldırıları keşfedildi Çinli şirketler tarafından geliştirilen MGBot kötü amaçlı yazılımını dağıtmak ve kimlik bilgilerini ve verileri çalmak için geliştirilen yazılımların güncelleme kanallarını ele geçiren grubun, Çin ve Nijerya’daki kişileri hedef aldığı saldırı.
Araştırmacılar, grubun aslında “son derece yetenekli ve saldırgan bir tehdit aktörü” olduğunu ve sıklıkla “hedeflere ulaşmak için üçüncü tarafları tehlikeye attığını” söyledi.
“Bu tehdit aktörü tarafından çeşitli kampanyalarda kullanılan çeşitli kötü amaçlı yazılımlar, yalnızca macOS ve Windows için değil, aynı zamanda ağ aygıtları için de aktif olarak desteklenen yüklerle önemli bir çaba harcandığını gösteriyor,” diye yazdılar.
Saldırılar ayrıca, otomatik güncellemeleri kötüye kullanmak için DNS zehirlenmesini kullanan Pocostick kötü amaçlı yazılımı için enfeksiyon vektörüyle ilgili ESET tarafından yapılan önceki araştırmalarla ve sıfır günlük saldırının ardından ilgili bir APT DriftingBamboo tarafından kullanılan bir araştırmayla da ilgilidir. Sophos güvenlik duvarlarının istismarıAraştırmacılar, şunları kaydetti:
Volexity bir bağlantı ekledi çeşitli kurallar Ve uzlaşma göstergeleri (IOC’ler) Kuruluşların kötü amaçlı faaliyetlerden etkilenip etkilenmediklerini tespit etmelerine yardımcı olmak için gönderisinde şunları söyledi: