Çinli APT Hackerları, Arka Kapıyı Açmak için Windows’ta LODEINFO Kötü Amaçlı Yazılımını Dağıtıyor

   Kasım 3, 2022  Posted in CyberSecurityNews


<strong>Çinli APT Hackerları, Arka Kapıyı Açmak için Windows’ta LODEINFO Kötü Amaçlı Yazılımını Dağıtıyor</strong>” başlık=”<strong>Çinli APT Hackerları, Arka Kapıyı Açmak için Windows’ta LODEINFO Kötü Amaçlı Yazılımını Dağıtıyor</strong>“/></div> <p>Kaspersky’nin tehdit araştırma laboratuvarındaki siber güvenlik araştırmacıları, yakın zamanda APT10 (diğer adıyla Stone Panda, Bronze Riverside, Cicada ve Potassium) tarafından güvenlik yazılımını kötüye kullanmak ve kötü amaçlı yazılımı Japonya merkezli kuruluşlara karşı kullanmak için kullanılan LODEINFO kötü amaçlı yazılımın gözden geçirilmiş bir sürümünün izini sürdü.</p> <p>Japon medya kuruluşları, diplomatik kuruluşlar, devlet kurumları, kamu sektörleri ve Düşünce Kuruluşları dahil olmak üzere siber casusluk için çeşitli yüksek ayrıcalıklı kuruluşları hedefliyor.</p> <p>2019’dan beri APT10’un tüm yasadışı operasyonları ve faaliyetleri Japonya’da güvenlik analistleri tarafından takip edildi. En azından 2009’dan beri, bu tehdit aktörleri grubunun internette aktif olduğuna dair kanıtlar var.</p> <p>Tespitlerin gerçekleşmesini önlemek için tehdit aktörleri, enfeksiyonu yaymak için kullandıkları teknikleri ve özel arka kapıları “LODEINFO”yu da sürekli olarak geliştiriyorlar.</p> <div class= DÖRT

Bu kötü amaçlı yazılımın keşfedilmesinden bu yana, aşağıdaki çizelge, belirli bir süre içindeki gelişiminin bir zaman çizelgesini gösterir:-

LODEINFO’nun Evrimi

Kötü amaçlı yazılımın yazarları tarafından 2022’de piyasaya sürülen altı yeni LODEINFO sürümü vardır. Eylül 2022’de, çeşitli güncellenmiş özellikler ve yeni geliştirilmiş TTP’ler içeren en son sürüm v0.6.7 yayınlandı.

LODEINFO sürüm v0.5.6, 2021’in sonunda APT10 tarafından piyasaya sürüldü ve C2 iletişimi için birden çok şifreleme katmanı ekledi. Bu, APT10 grubu tarafından Vigenere şifre anahtarı kullanılarak ve ayrıca rastgele oluşturulan önemsiz veriler kullanılarak elde edildi.

Securelist raporuna göre, v0.5.6 sürümünde LODINFO arka kapısı tarafından desteklenen 21 komut vardır ve bunlar XOR kullanılarak gizlenmiştir. Buna ek olarak, v0.5.9’daki API işlev adları için yepyeni bir karma hesaplama algoritması da tanıtıldı.

0.6.2 sürümünün 64 bit platformlar için destek eklediği bildirildi. Haziran 2022’de yayınlanan 0.6.3 kötü amaçlı yazılım sürümünden kaldırılan on gereksiz komut vardı ve yazarlar daha iyi verimlilik için bu komutları kaldırdı.

Güvenlik Yazılımı Sömürüsü

Japonya’daki APT10 saldırıları, Kaspersky’nin APT10 saldırılarında bir değişiklik olduğunu keşfettiği Mart 2022’de yeni bir enfeksiyon vektörü kullanmaya başladı.

Esas olarak aşağıdaki saldırı vektörlerini kullandılar: –

  • Hedefli kimlik avı e-postası
  • Kendiliğinden açılan (SFX) RAR dosyası
  • Güvenlik yazılımında DLL yan yükleme kusurundan yararlanın

K7Security Suite yazılımının bir parçası olan meşru NRTOLD.exe yürütülebilir dosyasıyla birlikte RAR arşivinde bulunan K7SysMn1.dll adlı kötü amaçlı bir DLL dosyası var. Düzgün çalışması için NRTOLD.exe, meşru bir sürüm gibi görünen K7SysMn1.dll dosyasını yüklemeye çalışır.

LODEINFO v0.6.3 Komutları

Aşağıda LODEINFO v0.6.3 tarafından kullanılan tüm komutlardan bahsettik: –

  • komut: Katıştırılmış arka kapı komut listesini göster.
  • gönder: C2’den bir dosya indirin.
  • recv: C2’ye bir dosya yükleyin.
  • bellek: Kabuk kodunu belleğe enjekte edin. Bu komut, v0.6.2 ve sonraki sürümlerde 64 bit kabuk kodunu destekleyecek şekilde güncellendi.
  • öldür: İşlem kimliğini kullanarak bir işlemi öldür.
  • cd: Dizini değiştirin.
  • ver: Geçerli işletim sistemi sürümü, kötü amaçlı yazılım sürümü, işlem kimliği, EXE dosya yolu, sistem kullanıcı adı, geçerli dizin, C2 ve Mutex adı dahil olmak üzere kötü amaçlı yazılım ve sistem bilgilerini gönderin.
  • yazdır: Bir ekran görüntüsü oluşturun.
  • fidye: Dosyaları, aynı zamanda sabit kodlanmış RSA anahtarı kullanılarak RSA ile şifrelenen, oluşturulan bir AES anahtarıyla şifreleyin.
  • comc: WMI kullanarak komutu yürütün.
  • config: Sadece “Kullanılamaz” ifadesini gösterir. v0.5.6’dan v0.6.5’e kadar mesaj.
  • ls: Bir dosya listesi alın.
  • rm: Bir dosyayı silin.
  • mv: Bir dosyayı taşıyın.
  • cp: Bir dosyayı kopyalayın.
  • cat: C2’ye bir dosya yükleyin.
  • mkdir: Bir dizin oluşturun.
  • keylog: Japonca klavye düzenini kontrol edin. Tuş vuruşlarını, tarih saatini ve etkin pencere adını kaydedin. 1 baytlık XOR şifrelemesi ve %temp%\%hostname%.tmp dosyası kullanır.
  • ps: İşlem listesini göster.
  • pkill: Bir işlemi sonlandırın.
  • autorun: Kalıcılığı ayarla/sil.

Gizli enfeksiyon zincirlerinin kullanımı, sürekli evrim ve hedef genişletme, APT10 tarafından Japon kuruluşlarını hedef alan operasyonların temel özellikleridir.

Ancak, hızlı ve sürekli gelişimi, bu kötü amaçlı yazılımın analiz edilmesini daha karmaşık ve tespit edilmesini zorlaştırıyor.

Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin



Source link