Siber savaş / ulus-devlet saldırıları, dolandırıcılık yönetimi ve siber suç, Geo Focus: Asya
Kötü amaçlı yazılım belleğe gizlenir, uç nokta araçlarıyla algılamadan kaçınır
Prajeet Nair (@prajeaetspeaks) •
15 Nisan 2025
Çin devlet destekli bir hackleme grubu, geleneksel tespit mekanizmalarından kaçan sadece bellekten uzak uzak erişim Truva atını kullanarak bir yıl sessizlikten sonra bir kampanya ile faaliyetlerini yeniden başlattı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
UNC5174 olarak izlenen tehdit oyuncusu, SYSDIG araştırmacıları tarafından yapılan bir rapora göre, özel kar ışığı kötü amaçlı yazılımlarının değiştirilmiş bir versiyonu aracılığıyla güçlü bir açık kaynaklı uzaktan erişim Trojan olan Vshell’i dağıtmayı içeren yeni bir taktik benimsedi. Bu yaklaşım, dosyayı diske yazmayı önler, bu da algılamayı dosya tabanlı taramaya dayanan uç nokta güvenlik araçları için zorlaştırır.
Sysdig araştırmacıları, “Vshell’in tamamen filtressiz bir şekilde yürütülmesi Çin tehdit aktörleri için bir oyun değiştirici.” Dedi. “İkili asla diske dokunmaz, doğrudan belleğe indirilir ve onu meşru bir çekirdek süreci olarak gizleyecek şekilde yürütülür.”
İlk olarak Ocak 2025’in sonlarında gözlemlenen kampanya, Linux tabanlı sistemleri hedefliyor ve kar ışığı ve Sıkıştırma Sonrası Araç Seti de dahil olmak üzere birden fazla yük sunan kötü amaçlı bir Bash komut dosyası ile başlıyor.
Kar ışığı bir damlalık görevi görür, vshell’i doğrudan belleğe yükler memfd_createanonim bellek dosyaları oluşturmak için tasarlanmış bir Linux syscall. Kötü amaçlı yazılım kendini gizler [kworker/0:2]bir çekirdek işçi ipliğini radarın altında kalacak şekilde taklit etmek.
HTTP veya DNS kullanan geleneksel komut ve kontrol yöntemlerinin aksine, VShell, HTTPS üzerinden geçen ve kampanyayı daha da zorlaştıran çift yönlü bir protokol olan WebSockets’i kullanarak iletişim kurar. Araştırmacılar, WebSockets’in güvenlik duvarları ve saldırı algılama sistemleri için zor olan şifreli, gerçek zamanlı iletişim sağladığını söyledi.
Sysdig, “Vshell’de WebSockets kullanımı nadir ve son derece etkilidir.” Dedi. “Bu kanal sadece tüm yükleri şifrelemekle kalmaz, aynı zamanda UNC5174’ün geleneksel savunmaları atlamasına izin verir.”
Grubun altyapısı, etki alanı çömelme adı verilen bir taktik olan Cloudflare, Google ve Telegram gibi iyi bilinen hizmetleri taklit eden alan adlarını içerir. Bu kampanyanın C2 sunucuları, vs.gooogleasia gibi[.]com ve apib.googlespays[.]com, başka bir gizleme katmanı ekleyen Google Compute Engine Virtual makinelerinde barındırılır.
UNC5174’ün daha önce Batı hükümetlerini, düşünce kuruluşlarını ve kritik altyapı organizasyonlarını hedefleyen bir Çin hükümet yüklenicisi olduğuna inanılıyor. Grubun motivasyonları iki yönlü görünür: Çin devleti için istihbarat toplanması ve yeraltı pazarlarında uzlaşmış ortamlara erişim satmak.
Kampanya, yüksek derecede özelleştirme için farklıdır. Vshell bağımsız bir araç olarak dağıtılmaz. Kar ışığıyla sıkı bir şekilde entegre olur ve UNC5174’in taktikleri, teknikleri ve prosedürlerine göre uyarlanmıştır. Araştırmacılar, bunun diğer tehdit aktörleri tarafından çoğaltılma olasılığını azalttığına ve ilişkilendirme zorluğunu artırdığına inanıyorlar.
Sysdig, “Bu aktör sadece hazır araçlar kullanmıyor. Neredeyse görünmez bir hibrit saldırı zinciri oluşturmak için açık kaynaklı kötü amaçlı yazılımları değiştiriyorlar.” Dedi. “Onları tehlikeli yapan da bu.”
Sofistike olmasına rağmen, Sysdig’in müşterileri ve Falco açık kaynaklı kullanıcılar, yalnızca bellek yürütme ve şüpheli bellek tahsislerini izleyen davranış kurallarını kullanarak VShell dağıtımlarını tespit edebilir. Bunlar, kullanımını işaretleyen kurallar içerir memfd_create– fexecve ve Filless kötü amaçlı yazılımlarda tipik olan büyük anonim bellek eşlemeleri.
UNC5174 kampanyası aktiftir, yeni tehlikeye giren ve sahtekarlık alanlarının yeni göstergeleri hala ortaya çıkıyor. Güvenlik ekipleri, şüpheli alanlar, anormal bellek kullanım modelleri ve Linux ortamlarında gizli hizmet kurulumlarını izlemesi konusunda uyarılır.