2025’in başlarında, Jewelbug olarak bilinen Çinli APT grubuna atfedilen yeni bir kampanya, Rusya’daki bir BT hizmet sağlayıcısını hedef almaya başladı.
Saldırganlar yapı sistemlerine ve kod depolarına sızarak potansiyel bir yazılım tedarik zinciri ihlaline zemin hazırladı.
İlk erişim, kabuk kodunu çalıştıran ve uygulama beyaz listesini atlayan, yeniden adlandırılan Microsoft Konsol Hata Ayıklayıcı ikili programı “7zup.exe” aracılığıyla sağlandı.
Bu gizli yaklaşım, düşmanın Ocak’tan Mayıs 2025’e kadar ağdaki varlığını sürdürmesine olanak tanıdı.
Symantec analistleri, imzalı bir Microsoft ikili dosyasının kötü amaçlarla kullanılmasının, arazide yaşama taktiklerinin ayırt edici özelliği olduğunu belirtti.
CDB’yi yeniden adlandırarak[.]Saldırganlar, exe’nin hata ayıklama yeteneklerinden yararlanarak yürütülebilir dosyaları başlatabilir, rastgele DLL’ler çalıştırabilir ve anında alarm vermeden güvenlik işlemlerini sonlandırabilir.
Sonraki faaliyetler arasında kimlik bilgilerinin boşaltılması, zamanlanmış görevler aracılığıyla ayrıcalıkların yükseltilmesi ve izlerini takip etmek için Windows Olay Günlüklerinin temizlenmesi yer alıyordu.
Veri hırsızlığı, yerel şirketler tarafından engellenmesi muhtemel olmayan meşru bir Rus hizmeti olan Yandex Cloud aracılığıyla gerçekleştirildi.
Özel bir yük olan “yandex2.exe”, hassas dosyaların yüklenmesini otomatikleştirerek, normal trafiğe uyum sağlamak için bulut platformunun güvenilirliğinden yararlandı.
Saldırganların özellikle derleme sunucularında depolanan yüksek değerli varlıkları hedef alması, casusluk odaklı bir hedefin kaynak koduna ve özel yazılım güncellemelerine odaklandığını gösteriyor.
Dışarıya sızmanın ötesinde, uzlaşma sonrası ek eylemler de gözlemlendi. Tehdit aktörleri, schtask’ları kullanarak kalıcı, zamanlanmış görevler oluşturdu ve güvenlik kısıtlamalarını devre dışı bırakmak için kayıt defteri ayarlarını değiştirdi.
Ayrıca, LSASS bellek dökümü için Mimikatz ve dahili sunucuları internete açmak için Fast Reverse Proxy gibi araçları konuşlandırarak yanal hareket etmeye çalıştılar.
Enfeksiyon Mekanizması
İlk uzlaşma, görünüşte zararsız olan Microsoft imzalı bir ikili dosyaya dayanıyordu. Saldırganlar, yeniden adlandırılan Konsol Hata Ayıklayıcısı yürütülebilir dosyasını kullanıcı profili dizinine bıraktı ve aşağıdaki komutla çalıştırdı:
C:\Users\Public\7zup.exe -c ".shellcode 0x1000,LoadShellcode; g;" Bu çağrı, imza kontrollerini ve uygulama beyaz listesini atlayarak kabuk kodunu doğrudan belleğe enjekte eder. Kötü amaçlı yazılım, hata ayıklayıcı komutlarını zincirleyerek yürütülebilir bellek bölgelerini tahsis etti, şifrelenmiş verileri yükledi ve yürütmeyi kötü amaçlı koda aktardı.
Bu enjeksiyon tekniği sayesinde Jewelbug, daha sonraki kimlik bilgileri toplama ve veri sifonlama turlarına olanak tanıyan sessiz bir dayanak elde etti.
CDB gibi çift kullanımlı araçlara duyulan güven[.]Meşru bulut kanallarıyla birleştirilen exe, grubun gelişmiş kaçırma yöntemlerinin ve uzun vadeli casusluk hedeflerinin altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
