Çin devlet destekli bir bilgisayar korsanlığı ekibi, altı aydan fazla bir süredir faaliyet göstermemesinden sonra Tayvan, Tayland, Filipinler ve Fiji merkezli hükümet, sağlık, teknoloji ve üretim kuruluşlarını hedef alan yeni bir kampanyayla yeniden su yüzüne çıktı.
Trend Micro izinsiz giriş setini, adı altında izlediği bir siber casusluk grubuna bağladı. Dünya LongzhiAPT41 (namı diğer HOODOO veya Winnti) içinde bir alt grup olan ve Earth Baku, SparklingGoblin ve GroupCC olarak bilinen çeşitli diğer kümelerle örtüşenleri paylaşan.
Earth Longzhi, siber güvenlik firması tarafından ilk olarak Kasım 2022’de Doğu ve Güneydoğu Asya’nın yanı sıra Ukrayna’da bulunan çeşitli kuruluşlara yönelik saldırılarının ayrıntılarını vererek belgelendi.
Tehdit aktörü tarafından oluşturulan saldırı zincirleri, BEHINDER web kabuğunu konuşlandırmak için giriş noktaları olarak halka açık savunmasız uygulamalardan yararlanır ve ardından CroxLoader adlı yeni bir Cobalt Strike yükleyici türü de dahil olmak üzere ek yükleri bırakmak için bu erişimden yararlanır.
“Bu son kampanya […] Trend Micro, bir Windows Defender yürütülebilir dosyasını DLL yandan yükleme gerçekleştirmek üzere kötüye kullanırken, aynı zamanda savunmasız bir sürücü olan zamguard.sys’den yararlanarak ana bilgisayarlara yüklenen güvenlik ürünlerini kendi güvenlik açığından etkilenen sürücüyü getir (BYOVD) saldırısı yoluyla devre dışı bırakır” dedi.
Earth Longzhi, güvenlik ürünlerinin yürütülmesini kısıtlamak için savunmasız RTCore64.sys sürücüsünü kullanan önceki kampanyalarda olduğu gibi, BYOVD tekniğini kesinlikle ilk kez kullanmıyor.
SPHijacker olarak adlandırılan kötü amaçlı yazılım, aynı hedefe ulaşmak için “yığın gürültüsü” olarak adlandırılan ve hedeflenen uygulamaların başlatıldığında kasıtlı olarak çökmesine neden olmayı gerektiren ikinci bir yöntem de kullanıyor.
“Bu teknik bir tür [denial-of-service] belgelenmemiş MinimumStackCommitInBytes değerlerini kötüye kullanan saldırı [Image File Execution Options] kayıt defteri anahtarı,” Trend Micro açıkladı.
“IFEO kayıt defteri anahtarındaki belirli bir işlemle ilişkili MinimumStackCommitInBytes değeri, ana iş parçacığının başlatılmasında işlenecek minimum yığın boyutunu tanımlamak için kullanılacaktır. Yığın boyutu çok büyükse, bir yığın taşması istisnasını tetikler ve sonlandırır. mevcut süreç.”
İkiz yaklaşımlar, güvenlik ürünlerini bozmak için kullanılabilecek yegane yöntemlerden uzaktır. Deep Instinct, geçen ay, Windows’taki uzaktan çatallanma mekanizmasını kullanarak uç nokta tespit sistemlerini kör eden yeni bir kod enjeksiyon tekniği olan Dirty Vanity adını verdi.
Dahası, sürücü yükü, algılamadan kaçınmak için Windows API’lerinin aksine Microsoft Uzaktan Yordam Çağrısı (RPC) kullanılarak çekirdek düzeyinde bir hizmet olarak kurulur.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Koltuğumu Kurtar!
Saldırılarda ayrıca, BigpipeLoader etiketli başka bir Cobalt Strike yükleyiciyi teslim etmek için Roxwrapper adlı DLL tabanlı bir damlalığın kullanılması ve SİSTEM ayrıcalıklarıyla belirli bir yükü başlatmak için Windows Görev Zamanlayıcı’yı kötüye kullanan bir ayrıcalık yükseltme aracının (dwm.exe) kullanılması da gözlemlendi. .
Belirtilen yük olan dllhost.exe, aktör tarafından kontrol edilen bir sunucudan sonraki aşama kötü amaçlı yazılımları alabilen bir indiricidir.
Burada, dwm.exe’nin GitHub’da bulunan açık kaynaklı bir kavram kanıtını (PoC) temel aldığını belirtmekte fayda var, bu da tehdit aktörünün kötü amaçlı yazılım cephaneliğini geliştirmek için mevcut programlardan ilham aldığını gösteriyor.
Trend Micro ayrıca, gelecekte iki ülkedeki kullanıcıları hedef almaya yönelik potansiyel girişimlere işaret eden Vietnamca ve Endonezyaca yazılmış sahte belgeler belirlediğini söyledi.
Güvenlik araştırmacıları Ted Lee ve Hara Hiroaki, “Earth Longzhi aktif olmaya devam ediyor ve taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) geliştirmeye devam ediyor” dedi. “Kuruluşlar, siber suçlular tarafından sürekli olarak yeni sinsi planlar geliştirilmesine karşı tetikte olmalıdır.”