Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Asya
Siber Casusluk Grubu Veri Hırsızlığı İçin Yeni Araçlar ve Taktikler Benimsiyor
Jayant Chakravarti (@JayJay_Tech) , Prajeet Nair (@prajeetskonuşuyor) •
10 Eylül 2024
Güvenlik araştırmacıları, Çin merkezli siber casusluk grubu Mustang Panda’nın Asya’daki devlet kurumlarına yönelik saldırılarını artırdığını, ağlara sızmak için yeni kötü amaçlı yazılım araçları ve ağlarda yer edinmek için Visual Studio Code yazılımındaki ters kabuk özelliğini kullandığını söylüyor.
Ayrıca bakınız: 2024 Dolandırıcılık İçgörüleri Raporu
Trend Micro ve Palo Alto Network’ün tehdit istihbarat kolu Unit 42’nin son iki raporu, Güneydoğu Asya’daki yüksek değerli devlet kurumlarına yönelik son saldırılarda yeni taktikler keşfetti. Çalınan veriler, genellikle saldırganların kontrolündeki uzak sunuculara gönderilen belgeler, elektronik tablolar, sunumlar ve diğer hassas bilgileri içerir.
Yeni Kötü Amaçlı Yazılım Araçları
Trend Micro raporuna göre, Mustang Panda – Earth Preta, RedDelta, Luminous Moth ve Camaro Dragon olarak da bilinir – FDMTP indirici ve PTSOCKET dosya aktarım aracı da dahil olmak üzere yeni kötü amaçlı yazılım araçları sunmak için mızraklı kimlik avı kampanyaları kullanıyor. FDMTP indirici, kötü amaçlı dosyaların kurbanın sistemine indirilmesine yardımcı olarak enfeksiyonu başlatır ve PTSOCKET dosya aktarım aracı, saldırganların bir ağa sızdıktan sonra sistemler arasında veri aktarmalarına olanak tanır.
Bu iki araç, Mustang Panda’nın önceki saldırılarda kullandığı Pubload gibi mevcut kötü amaçlı yazılımları tamamlıyor. Araçlar birlikte grubun ağlara sızmasına, veri toplamasına ve çalınan verileri dışarı çıkarmasına olanak sağlıyor.
Trend Micro’nun takibi, Earth Preta’nın kötü amaçlı araçları dağıtma biçimini de geliştirdiğini gösteriyor. Geliştirilmiş mızraklı kimlik avı taktikleri arasında, saldırı zincirini daha karmaşık ve tespit edilmesi daha zor hale getiren ek kötü amaçlı yazılım bileşenlerini tanıtmaya yardımcı olmak için kullanılan Downbait ve Pullbait gibi çok aşamalı indiriciler kullanmak yer alıyor.
Son kampanyada, grup birincil kötü amaçlı yazılımı Pubload’u çıkarılabilir sürücüler aracılığıyla yaymak için bir HIUPAN solucan çeşidi kullandı. Pubload ana kontrol aracı olarak hizmet eder. Bir sistemi enfekte ettiğinde, veri toplamayı kolaylaştırır ve ek kötü amaçlı dosyaları indirmek için FDMTP ve veri aktarımı için PTSOCKET gibi ikincil araçlar sunar.
Kampanya, bir kimlik avı e-postasıyla başlıyor. .url
Çok aşamalı kötü amaçlı yazılım dağıtım sürecini tetikleyen ek.
Downbait adlı imzalı bir indirme aracının yürütülmesiyle kötü amaçlı yazılım meşru ve güvenilir görünür. Downbait, kötü amaçlı yazılımın eylemlerini gizleyen veya gizleyen bir teknik olan çok katmanlı XOR şifrelemesini kullanır.
Downbait, çalıştırıldıktan sonra enfeksiyonu daha da ilerletmek için bir sahte belge ve Pullbait indirir.
Pullbait, DLL yan yükleme tekniğini kullanarak CBROVER adlı bir kötü amaçlı yazılım parçasını indirir ve çalıştırır. CBROVER, tehlikeye atılan sisteme ilk tutunmayı sağlayan ilk aşama arka kapısıdır. Çalıştırıldığında, daha gelişmiş ve güçlü bir arka kapı olan Plugx’i dağıtır.
Bir ağın içine girdikten sonra, Earth Preta hassas dosyaları toplamak ve sıkıştırmak için RAR ve Filesac gibi araçlar kullanır. Saldırganlar, çalınan bilginin karmaşıklığına ve boyutuna bağlı olarak veri sızdırma için hem cURL hem de PTSOCKET kullanır.
Visual Studio Kod Atlatma
Unit 42’deki araştırmacılar, Visual Studio Code yazılımının gömülü ters kabuk özelliğini kötüye kullanarak keyfi kod yürütüp ek yükler teslim eden tehdit aktörlerini tespit ettiklerini söyledi. Bu istismar, tehdit aktörlerinin keşif yapmak ve hassas verileri çalmak için Visual Studio Code’daki güvenlik korumalarını aşmasını sağlıyor.
42. Birim araştırmacıları, saldırının Eylül ayında tespit edilen ve Güneydoğu Asya hükümetine ait ele geçirilmiş ağlarda uzun vadeli üsler kuran ve hassas belgeleri sızdıran tehdit kampanyasının devamı olduğuna inanıyor.
Vietnam hükümeti yakın zamanda Mustang Panda’yı, bilgisayar korsanlarının hükümet, kâr amacı gütmeyen kuruluşlar ve eğitim kuruluşlarını hedef almak için vergi uyumluluğu ve eğitimle ilgili yemler kullandığı iki kimlik avı kampanyasından sorumlu tuttu (bkz: Vietnam, Mustang Panda’yı casusluk saldırısından sorumlu tutuyor).
42. Birim Cuma günü, tehdit grubunun güvenlik araştırmacısı Truvis Thornton’ın Eylül ayındaki blog yazısında daha önce açıkladığı bir Visual Studio Code açığını kullandığını söyledi.
Bu istismar, tehdit aktörünün taşınabilir sürümünü kullanmasını gerektirir. code.exe
Visual Studio Code için yürütülebilir dosya veya yazılımın önceden yüklenmiş bir sürümü. Bir saldırgan komutu çalıştırdığında, kendi hesabıyla GitHub’da oturum açmak için bir bağlantı alır ve ardından tehlikeye atılmış bir makineye bağlı bir Visual Studio Code web ortamına yönlendirilir, burada komutları ve betikleri yürütmelerine ve yeni dosyalar çalıştırmalarına izin verilir.
42. Birim, Mustang Panda’nın bu açığı, tehlikeye atılmış ağlara kötü amaçlı yazılım göndermek için kullandığını ve şu adla anılan bir betiği kullandığını söyledi: startcode.bat
Enfekte ortamlarda kalıcılığı sağlamak için planlanmış bir görev aracılığıyla.
Siber casusluk grubu, dosyaları sızdırmak üzere arşivlemek için kalıcılık, ağ ve komut yürütme bileşenleriyle donatılmış ToneShell arka kapısının bir çeşidini kullandı ve RAR arşivlerini korumak için 13 karakter uzunluğunda benzersiz bir parola kullandı. Araştırmacılar, grubun daha önce belgelenen ve aynı Güneydoğu Asya hükümet kuruluşunu hedef alan kampanya sırasında aynı parolayı kullandığını buldu.
42. Birim araştırmacıları ayrıca, 2017’den beri birden fazla Çinli tehdit grubu tarafından kullanılan modüler bir kötü amaçlı yazılım olan ShadowPad arka kapısını kullanarak aynı hükümet kuruluşunu hedef alan paralel bir siber casusluk kampanyasıyla karşılaştı. Kampanyanın arkasındaki tehdit aktörleri, aynı ağ oturumunu kullanarak şunları yazdı: Listeners.bat
ve ShadowPad arka kapısıyla yapılan saldırılarda kullanılan 13 anahtarlı parolanın aynısının toplu iş dosyasında da kullanıldığı ve bu durumun iki kampanya arasında güvenilir bir bağlantı olduğunu gösterdiği belirtildi.