Uç Nokta Güvenliği
APT 41, 2018’den Bu Yana Asya Pasifik Mağdurlarını Hedef Almak İçin Android ve iOS Gözetleme Kötü Amaçlı Yazılımını Kullandı
Jayant Chakravarti (@JayJay_Tech) •
3 Ekim 2023
Güvenlik araştırmacıları LightSpy adlı bir gözetim araç setini Çin siber casusluk grubu APT41’e bağladı. Grup, kullanıcıları üçüncü taraf uygulama mağazalarından kötü amaçlı bir WeChat uygulaması indirmeye ikna etmek için spam mesajları kullandı.
Ayrıca bakınız: Canlı Web Semineri | Kafanızı Buluta Taşıyın: Modern Güvenlik Sorunları ve Çözümleri
ThreatFabric’teki güvenlik araştırmacıları, LightSpy gözetim kötü amaçlı yazılımlarının kullanımını, Wicked Panda olarak da takip edilen devlet destekli bilgisayar korsanlığı grubuna bağladı. Çoğu tehdit aktörünün aksine, APT41’in iOS ve Android cihazlarla uyumlu çeşitli gözetim kötü amaçlı yazılımlarını kullanma geçmişi vardır. Siber güvenlik firması Kaspersky, LightSpy’ı 2020 yılında Hong Kong’daki iOS kullanıcılarını hedef alan bir sulama deliği saldırısında tespit etti.
LightSpy, kurban cihazlardan doğru özel bilgileri alıp kendi komuta ve kontrol sunucusuna sızdırma yeteneğine sahiptir. Bilgiler, mağdurun bir bina içindeki kesin konumunu, ödeme verilerini, çağrı kayıtlarını ve sohbet arşivlerini içerebilir.
ThreatFabric, kötü amaçlı yazılımın gözetim ve veri sızdırma yeteneklerine sahip düzinelerce eklenti içerdiğini söyledi.
APT41, web uygulaması saldırıları ve yazılım güvenlik açığından yararlanma ile ilişkilendirildi ancak yakın zamanda mobil işletim sistemlerine özel kötü amaçlı yazılım geliştirmek için taktik değiştirdi.
Temmuz ayında siber güvenlik şirketi Lookout, Barium, Earth Baku ve Winnti olarak da takip edilen tehdit grubunun, Android mobil cihazlarını hedeflemek için WyrmSpy ve DragonEgg gözetim kötü amaçlı yazılımlarını kullandığını söyledi (bkz: Çin Tehdit Grubu APT41 Android Kötü Amaçlı Yazılım Saldırılarıyla Bağlantılı).
ThreatFabric’teki araştırmacılar Lookout tarafından yayınlanan IP adreslerini, karmaları ve kötü amaçlı yazılım örneklerini analiz etti ve DragonEgg ve LightSpy gözetleme kötü amaçlı yazılımlarının kullanılmasından aynı tehdit grubunun sorumlu olduğu sonucuna vardı.
Her iki kötü amaçlı yazılım sürümünün C2 yolu aynı benzersiz tanımlayıcıyı ve “light” kelimesini içerir ve iki kötü amaçlı yazılım sürümü aynı yapılandırma modelini ve çalışma zamanı yapısını paylaşır. Yapıları, tehdit aktörlerinin birden fazla işlevi destekleyen dinamik olarak güncellenebilir modüller ekleyebileceği bir “çekirdek” içerir.
Android ve iOS kötü amaçlı yazılım sürümleri ayrıca JSON verilerini, benzer API uç noktalarına sahip olan komut kimliği ve yürütme sunucusuyla birlikte sunucuya gönderir ve aynı arka uç API uç noktalarına yakın olan Wi-Fi ağlarının bir listesini sızdırır.
ThreatFabric’e göre tehdit aktörleri, hedeflenen cihaza geniş erişim izinleri elde etmek için WeChat’in kötü amaçlı bir sürümünü kullandı ve iletişim arşivi, kişi listesi ve depolanan dosyalar gibi dahili özel bilgileri sızdırmak için LightSpy’ı kullandı.
Tehdit grubunun Çin, Singapur ve Rusya’da aktif sunucuları var ve öncelikli olarak Asya-Pasifik bölgesindeki kurbanları hedef alıyor.
Firma, “LightSpy, iletişim arşivi, kişi listesi ve saklanan dosyalar dahil olmak üzere messenger üzerinden dahili özel bilgilere erişebilir; bu, cihazda süper kullanıcı ayrıcalıklarının mevcut olmaması durumunda son derece önemlidir” dedi. “Habercilerin kötü amaçlı kod taşıyıcıları olduğu durumlarda böyle bir tekniğin son derece tehlikeli olduğunu ve tespit edilmesinin zor olduğunu varsayıyoruz.”