Geçen yıl, daha önce sessiz bir Çin tehdit kümesi, dünya çapında olay tepkisi panolarına yükseldi ve tek sıfır gün hitlerinden silahlandırılmış güvenlik açıklarının sanayileşmiş bir boru hattına döndü.
İlk olarak tespit edilmemiş Fortinet SSL-VPN cihazları 2024’ün sonlarında, olay işleyicileri tarafından “Goujian Örümcek” olarak adlandırılan grup-şimdi hızlı güvenlik açığı edinimi, savunma yüklenicileri, çip tasarımcıları ve deniz-log firmalarını dokuz ülkelerde ihlal ediyor.
Her izinsiz giriş, genellikle Çin’in İç Ulusal Güvenlik Açığı Veritabanında (NVDB) bir kamu CVE numarası atanmadan haftalar önce görünen taze hasat edilmiş bir kusurla başlar ve operatörlere belirleyici bir baş başlangıç sağlar.
Başlangıç erişimi, sert kodlu komut dizesi için “Redsam” lakaplı ısmarlama Golang implantını açan şifreli bir yükleyicinin sessiz dağıtımını takip eder. red_sam_initialize().
Arşiv analistleri, bir Şangay’dan gelen trafik artışlarını 11 Şubat 2025’te eşzamanlı NVDB açıklamalarıyla ilişkilendirdikten sonra kötü amaçlı yazılımları, kampanyayı Çin’in Ağ Ürün Güvenlik Güvenliksizliklerinin (RMSV) yönetimi ile ilgili ilk saha kanıtı olarak işaretledi.
Araştırmacılar, Goujian örümceğinin sadece kırk sekiz saat içinde üç farklı istismardan geçtiğini belirlediler-biri Ivanti Connect Secure için, biri Atlassian İfşa için ve bir niş OPC UA ağ geçidi-yamalar gönderilmeden önce savunmasızlığa ayrıcalıklı erişimin sağlanması.
Etki önemlidir: Olay yanıtlayanlar, tasarım dosyalarını, uydu telemetrisini ve çalışan tek oturum açma çerezlerini söndüren en az altmış ana bilgisayarları izler.
Mortem sonrası adli zaman çizelgeleri, Redsam’ın yalnızca güvenlik açıkları kamuya açıklandıktan sonra yürütüldüğünü gösterir ve bu da ilk dayanağı maskelemek ve sinir bozucu ilişkilendirmeyi kasıtlı evrelemeyi gösterir.
Enfeksiyon mekanizmasının içinde
Goujian Spider’ın enfeksiyon zinciri keşif, sömürü ve kalıcılığı 400’den az kod çizgisine sıkıştırır.
.webp)
Savunmasız Web bileşeni hazırlanmış bir istekle araştırıldıktan sonra, “lilacdrop” adı verilen sadece bellekten oluşan bir yükleyici, yığın HTTP ile aktarılır ve yansıtıcı DLL yüklemesi yoluyla yürütülür.
Aşağıdaki Go Fragment (Ters Takımları Tersine Gözden Geçirilmiş) Lilacdrop’un Redsam’ı nasıl enjekte ettiğini ortaya koyuyor. spoolsv.exeortak EDR kancalarını atlamak:-
func elevateAndSpawn(shellcode []byte) error {
hProc, _ := windows.OpenProcess(windows.PROCESS_ALL_ACCESS, false, pidByName("spoolsv.exe"))
remoteAddr, _ := windows.VirtualAllocEx(hProc, 0, uintptr(len(shellcode)),
windows.MEM_COMMIT, windows.PAGE_EXECUTE_READWRITE)
var written uintptr
windows.WriteProcessMemory(hProc, remoteAddr, &shellcode[0], uintptr(len(shellcode)), &written)
thd, _, _ := procCreateRemoteThread.Call(uintptr(hProc), 0, 0, remoteAddr, 0, 0, 0)
windows.WaitForSingleObject(windows.Handle(thd), windows.INFINITE)
return nil
}Snippet, üç taktik seçeneği vurgular:-
- Hizmet oluşturma üzerinde süreç kaçırma – Kaçırma
spoolsv.exeSavunucuların sıklıkla denetlediği yeni hizmetlerden kaçınır. - Yalnızca bellek yürütme -Diske dokunmaz, imza tabanlı tarayıcıları engeller.
- Tek iplikli tamamlama – Kod, enjekte edilen iş parçacığının temizlenmeden önce bitmesini bekler ve adli tıp siliyor.
Yerleşik olarak kalmak için Redsam, her 15 dakikada bir çalışan “Windows LSM Cache” adlı gizli planlanmış bir görev yaratır, ancak yalnızca ilk CVE için NVDB girişi, kamu açısından bir kavram kanıtı alıyorsa-savunucular en işlek olduğunda implantları birleştirir.
Tespit Kaçağı Günlük Budamasına Uzanır: Yerleşik Rutin Aramalar Windows Olay Kimliği 4104 (PowerShell), 4688 (süreç oluşturma) ve 1102 (denetim günlüğü temizlendi) ve muteksini içeren satırları seçici olarak siler Global\RS_MUTEX.
.webp)
Bu, Tayvanlı yarı iletken Fab’ın ihlali sırasında çıkarılan gözlemlenen muteksleri ve komut ve kontrol URI’lerini aşan her aşamayı haritalar.
NVDB ve CVE sürümünün zaman çizelgesi, grubun yerel açıklama ve genel CVE ataması arasındaki ortalama on bir günlük avantajını gösterir.
Goujian Spider’ın sofistike olmasına rağmen, savunucular anormal ağ çıkışını sert kodlamaya avlayabilirler /public/upload TCP 443’teki yollar ve Microsoft olmayan açıklamalar için planlanan görevleri izleyin.
Hızlı yama benimsenmesi çok önemlidir: Fab durumda, zamanında bir satıcı sıcaklığı, silahlanmadan üç gün önce Ivanti’nin istismarını etkisiz hale getirirdi.
RMSV güdümlü güvenlik açığı hasadı hızlandıkça, kuruluşlar her NVDB listesini-kamuya açık veya sızdırılmış-yakın bir tehdit penceresi olarak ele almalıdır, dahili yama döngülerini buna göre kısaltır.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin