Çinli bir gelişmiş kalıcı tehdit (APT) grubu, özel kötü amaçlı yazılım dağıtmak amacıyla Çinli şirketler tarafından geliştirilen yazılımlar için meşru uygulama güncelleme kanallarını ele geçiriyor.
Saldırılar, iki yıldır devam eden bir kampanya kapsamında Çin ve Nijerya’daki bireyleri hedef aldı. Eset’ten araştırmacılar, kötü niyetli etkinliğin siber casusluk amacıyla kimlik bilgilerini ve verileri çalmayı amaçladığını buldu.
Ocak ayında araştırmacılar, Evasive Panda APT’nin grubun amiral gemisi arka kapısı MgBot kötü amaçlı yazılımının yükleyicisini Çinli bir sivil toplum kuruluşuna teslim ettiğini gözlemlediler ve 26 Nisan’da yayınlanan bir blog gönderisinde ortaya çıkardılar.
Facundo Munoz, “Araştırmamız sırasında, otomatik güncellemeler gerçekleştirirken meşru bir uygulama yazılımı bileşeninin MgBot arka kapı yükleyicilerini meşru URL’lerden ve IP adreslerinden indirdiğini keşfettik.” Eset güvenlik istihbarat analisti ve kötü amaçlı yazılım araştırmacısı, yazıda yazdı.
Kötü amaçlı etkinlik, ağırlıklı olarak Gansu, Guangdong ve Jiangsu eyaletlerindeki Çinli kullanıcıların yanı sıra Nijerya’daki bir kullanıcıyı hedef aldı.
Araştırmacılar, Evasive Panda’nın kurbanları gözetlemesine ve hareket halindeyken yeteneklerini geliştirmesine olanak tanıyan modüler bir kötü amaçlı yazılım olan MgBot arka kapısını kullanan başka bir tehdit aktörünü daha önce hiç gözlemlemedi. — aktiviteyi Çin APT’sine atfetmenin oldukça kolay olduğunu söylediler.
Nasıl Çektiler?
Araştırmacılar, emsalsiz olmasa da, yasal bir yazılım güncelleme kanalı aracılığıyla kötü amaçlı yazılım dağıtmanın alışılmadık ve oldukça karmaşık olduğunu söyledi. Şu anda, Evasive Panda’nın bunu nasıl yaptığı konusunda kararsız kalıyorlar.
Ancak araştırmacılar, spekülasyonlarını iki olası senaryoya indirgediler: tedarik zinciri uzlaşması veya ortadaki düşman (AitM) saldırısı, araştırmacılar dedi. Araştırmacılar, bu sonuçlara varmak için Evasive Panda kampanyasındaki her iki faaliyet türünü ve diğer saldırılarla benzerliklerini analiz ettiler.
Tedarik zinciri senaryosu için Eset, en fazla sayıda kötü amaçlı yazılım örneği tespit ettikleri güncelleyicilerden birini, popüler bir Çin sohbeti ve sosyal medya hizmeti olan Tencent QQ Windows istemcisi için güncelleyiciyi analiz etti.
“Saldırıların hedefli doğası göz önüne alındığında, saldırganların, hedeflenen kullanıcıları belirleyerek kötü amaçlı yazılımı onlara ulaştırmak, hedeflenmeyen kullanıcıları filtrelemek ve onlara yasal güncellemeler göndermek için bir mekanizma başlatmak üzere QQ güncelleme sunucularını tehlikeye atması gerekeceğini tahmin ediyoruz.” Munoz yazdı. Gerçekten de, araştırmacılar yasal güncellemelerin aynı kötüye kullanılan protokoller aracılığıyla indirildiğini gözlemlediler.
Araştırmacılar bu olası senaryoyu, saldırganların belirli kullanıcılara hem BigNox adlı yasal yazılım güncellemelerini hem de kötü amaçlı yükleri teslim etmek için Hong Kong merkezli bir yazılım geliştirme şirketinin güncelleme sunucularını tehlikeye attığı, inceledikleri önceki bir vakayla karşılaştırdı. Araştırmacılar, Evasive Panda’nın MgBot’u teslim etmesi durumunda benzer bir senaryonun gerçekleşmiş olabileceğini söyledi.
AitM senaryoları için araştırmacılar, WinDealer kötü amaçlı yazılımını yasal uygulama güncellemeleri aracılığıyla dağıtan Çince konuşan LuoYu APT grubunun yetenekleri hakkında geçen Haziran ayında Kaspersky tarafından yayınlanan bir rapora atıfta bulundu.
Bu durumda araştırmacılar, saldırının başarılı bir güvenlik ihlali durumunda iletişim kuracak yerleşik komuta ve kontrol sunucularının bir listesini taşımak yerine 13.62.0.0/15 ve 111.120.0.0/14 aralığında rastgele IP adresleri ürettiğini fark ettiler. China Telecom AS4134’ten.
Araştırmacılar, Evasive Panda’nın son aktivitesinde küçük de olsa benzer bir tesadüf olduğunu gözlemlediler: “Hedeflenen Çinli kullanıcıların MgBot kötü amaçlı yazılımını aldıkları sırada IP adresleri AS4134 ve AS4135 IP adresleri aralığındaydı. ,” yazdı Munoz.
Araştırmacılar, bu benzer faaliyetlerin, hem LuoYo hem de Evasive Panda’nın bu aralıklardaki IP adresleriyle ilişkili çok sayıda cihazı kontrol ettiğini veya bunların AitM olduğunu veya söz konusu AS’nin altyapısında yandan saldırgan müdahalesi olduğunu gösterebilir. tahmin Gerçekten de, Symantec tarafından yapılan önceki araştırma, Evasive Panda’nın Afrikalı bir telekomünikasyon sağlayıcısını hedef aldığını bildirdi.
Munoz, “ISS omurga altyapısına – yasal veya yasa dışı yollarla – erişimle, Evasive Panda, HTTP yoluyla gerçekleştirilen güncelleme isteklerini durdurabilir ve yanıtlayabilir, hatta paketleri anında değiştirebilir,” diye yazdı.
APT ve Kötü Amaçlı Yazılımı
Evasive Panda – diğer adıyla Bronze Highland ve Daggerfly – 2012’den beri aktiftir ve öncelikle Çin anakarası, Hong Kong, Makao ve Nijerya’daki bireylerin yanı sıra Çin ve Hong Kong’daki belirli kuruluşlara karşı siber casusluk yürütür.
Grup ayrıca Çin, Makao ve Güneydoğu ve Doğu Asya ülkelerindeki – özellikle Myanmar, Filipinler, Tayvan ve Vietnam – devlet kurumlarını hedef aldı. Kamuya açık raporlara göre, grup ayrıca Hong Kong, Hindistan ve Malezya’daki bilinmeyen varlıkları da hedef aldı.
Evasive Panda, kurbanları gözetlemek için öncelikle modüler C++ tabanlı Windows arka kapı MgBot’u kullanıyor – ki bu, ilk kez 2014’te kamuya açık olarak belgelendiğinden bu yana güncellenmemiş görünüyor -. Eset’e göre kötü amaçlı yazılımın modülleri, saldırılar sırasında saldırganın yeteneklerini geliştirmek için Evasive Panda tarafından güncellenebilir.
Güvenlik araştırmacıları, saldırıların son kullanıcılara çok meşru göründüğü için kuruluşların bunları tespit etmesinin ve azaltmasının zor olduğunu söylüyor. Eset araştırmacıları, potansiyel kurbanların uzlaşmadan kaçınmasına yardımcı olmak için gönderilerine bir uzlaşma göstergeleri (IoC’ler) listesi ekledi.
Kaspersky araştırmacıları, LuoYo saldırısını rapor ederken, potansiyel hedeflerin bu tür saldırılara karşı savunma yapmasının tek yolunun son derece tetikte olmaları ve düzenli antivirüs taramaları, giden ağ trafiğinin analizi ve anomalileri tespit eder.