APT15 olarak izlenen Çin devlet destekli bilgisayar korsanlığı grubunun, 2022’nin sonları ile 2023’ün başları arasında yeni bir kampanyada ‘Graphican’ adlı yeni bir arka kapı kullandığı gözlemlendi.
Nickel, Flea, Ke3Chang ve Vixen Panda olarak da bilinen APT15, en az 2004’ten beri dünya çapında önemli kamu ve özel kuruluşları hedef alan Çin devlet korsanlarıdır.
Grup, RoyalCLI ve RoyalDNS, Okrum, Ketrum ve SilkBean ve Moonshine adlı Android casus yazılımları dahil olmak üzere yıllar boyunca çeşitli kötü amaçlı yazılım implantları ve özel arka kapılar kullandı.
Bugün, Broadcom’un bir parçası olan Symantec’teki Tehdit Avcısı Ekibi, APT15’in son kampanyasının Orta ve Güney Amerika ülkelerindeki dışişleri bakanlıklarını hedef aldığını bildirdi.
Yeni Graphican arka kapısı
Araştırmacılar, yeni Graphican arka kapısının, sıfırdan oluşturulmuş bir araçtan ziyade bilgisayar korsanları tarafından kullanılan daha eski bir kötü amaçlı yazılımın evrimi olduğunu bildiriyor.
Komuta ve kontrol (C2) altyapı adreslerini şifrelenmiş biçimde gizlice elde etmek için Microsoft Graph API ve OneDrive’ı kullanması dikkate değerdir, bu da ona çok yönlülük ve yayından kaldırmalara karşı direnç sağlar.
Graphican’ın virüs bulaşmış cihazda çalışması aşağıdakileri içerir:
- Kayıt defteri anahtarlarını kullanarak Internet Explorer 10’un ilk çalıştırma sihirbazını ve karşılama sayfasını devre dışı bırakır.
- ‘iexplore.exe’ işleminin etkin olup olmadığını doğrular.
- İnternet erişimi için genel bir IWebBrowser2 COM nesnesi oluşturur.
- Geçerli bir erişim belirteci ve fresh_token için Microsoft Graph API ile kimlik doğrulaması yapar.
- Grafik API’sini kullanarak “Kişi” OneDrive klasöründeki alt dosyaları ve klasörleri numaralandırır.
- C&C sunucusu olarak kullanmak için ilk klasörün adının şifresini çözer.
- Ana bilgisayar adını, yerel IP’yi, Windows sürümünü, varsayılan dil tanımlayıcısını ve işlem bitliğini (32/64-bit) kullanarak benzersiz bir Bot Kimliği oluşturur.
- Toplanan kurbanın bilgisayar verileriyle doldurulmuş belirli bir biçim dizesini kullanarak botu C&C sunucusuna kaydeder.
- Yürütülecek yeni komutlar için C&C sunucusunu düzenli olarak kontrol eder.
Tehdit aktörleri, komut ve kontrol sunucusuna bağlanırken, program başlatmak ve yeni dosyalar indirmek de dahil olmak üzere virüslü cihazlarda yürütülecek çeşitli komutlar gönderebilir.
C2’nin Graphican tarafından yürütülmek üzere gönderebileceği komutların tam listesi şunlardır:
- ‘C’ — C&C sunucusundan kontrol edilen etkileşimli bir komut satırı oluşturun
- ‘sen’ — Uzak bilgisayarda bir dosya oluşturun
- ‘D’ — Uzak bilgisayardan C&C sunucusuna bir dosya indirin
- ‘N’ — Gizli bir pencere ile yeni bir işlem oluşturun
- ‘P’ — Gizli pencereli yeni bir PowerShell işlemi oluşturun ve sonuçları TEMP klasöründeki geçici bir dosyaya kaydedin ve sonuçları C&C sunucusuna gönderin
Symantec araştırmacılarının APT15’in son kampanyasında gözlemlediği diğer araçlar şunlardır:
- EWSTEW – Etkilenen Microsoft Exchange sunucularından e-postaları ayıklayan özel APT15 arka kapısı.
- Mimikatz, Pypykatz, Safetykatz – Bellekten sırları ayıklamak için Windows çoklu oturum açmadan yararlanan, halka açık kimlik bilgileri boşaltma araçları.
- lazanya – Birden çok uygulamadan parola alabilen açık kaynaklı bir araç.
- Kuarklar PwDump – Farklı türde Windows kimlik bilgilerini atar. 2013’ten beri belgelenmiştir.
- SharpSecDump – Uzak SAM ve LSA sırlarını boşaltmak için kullanılan, Impacket’in secretsdump.py dosyasının bir .Net bağlantı noktası.
- K8Araçlar – Ayrıcalık yükseltme, parola kırma, tarama, güvenlik açığından yararlanma ve çeşitli sistem açıklarından yararlanma özelliklerine sahip bir araç seti.
- Delik – Savunmasız sistemlerin tanımlanması.
- Web kabukları – AntSword, Arkasında, Çin Kıyıcı, Godzillabilgisayar korsanlarına ihlal edilen sistemlere arka kapı erişimi sağlar.
- CVE-2020-1472 istismarı – Netlogon Uzak Protokolünü etkileyen ayrıcalık yükselmesi güvenlik açığı.
Sonuç olarak, APT15’in son etkinliği ve özel arka kapısının yenilenmesi, Çinli bilgisayar korsanlığı grubunun araçlarını geliştirerek ve operasyonlarını daha gizli hale getirmeye çalışarak dünya çapındaki kuruluşlar için bir tehdit olmaya devam ettiğini gösteriyor.
Belirli tehdit grubu, ilk bulaşma vektörü olarak kimlik avı e-postalarını kullanır; bununla birlikte, internete maruz kalan savunmasız uç noktalardan yararlanmaları ve ilk erişim vektörü olarak VPN’leri kullanmalarıyla da tanınırlar.