Araştırmacılar, bilgi işlem ve ilgili teknolojiler konusunda uzmanlaşmış Tayvan hükümetine bağlı bir araştırma enstitüsünü hedef alan bir siber casusluk kampanyasını ortaya çıkardı. Araştırmacılar, taktiklerin, tekniklerin ve prosedürlerin (TTP’ler) küresel çapta 100’den fazla kurbana yönelik saldırı kampanyalarıyla bağlantılı olarak FBI’ın en çok arananlar listesinde yer alan APT41 olarak bilinen Çin devlet destekli bilgisayar korsanlığı grubuyla ilişkili olduğunu orta düzeyde güvenle değerlendirdi.
Temmuz 2023’te başlayan kampanyada, kötü şöhretli ShadowPad kötü amaçlı yazılımı Cobalt Strike ve saldırı sonrası faaliyetler için özel araçlar kullanıldı.
Casusluk Kampanyası Kanıtları APT41’i Gösteriyor
Saldırı, yük için ikinci aşama yükleyiciyi başlatmak için yükleyici görevi gören Microsoft Office IME ikilisinin eski, savunmasız bir sürümünün istismarıyla başladı. Uzaktan erişim trojan (RAT) yetenekleriyle bilinen ShadowPad kötü amaçlı yazılımı, sisteme erişim sağlamak için kullanıldı.
Talos’taki araştırmacılar ayrıca APT41’in, CVE-2018-0824 için bir kavram kanıtını doğrudan belleğe enjekte etmek üzere özel bir yükleyici oluşturduğunu ve yerel ayrıcalık yükseltmesini elde etmek için Microsoft uzaktan kod yürütme güvenlik açığını kullandığını gözlemlediler.
Saldırganlar ayrıca Windows Defender tarafından tespit edilmekten kaçınmak için bir penetrasyon testi aracı olan Cobalt Strike’ı kullandılar. GoLang’da yazılmış, yaygın olarak dağıtılan Cobalt Strike yükleyicisinin benzersiz bir sürümü, kötü amaçlı yazılımı sisteme yan yüklemek için kullanıldı.
Bu yükleyici sürümü, GitHub’da barındırılan ve Basitleştirilmiş Çince ile yazılmış CS-Avoid-Killing adlı bir anti-AV yükleyicisine dayanıyordu. Çince hack forumlarında ve teknik eğitimlerde tanıtılan depo, tehdit aktörlerinin dilde oldukça bilgili olduğunu gösteriyor. Yükleyicinin kodunda Basitleştirilmiş Çince kullanımı, Çinli aktörlerle bağlantıyı daha da güçlendiriyor.
Saldırganlar hedeflenen ortamda üç ana bilgisayarı tehlikeye attı ve ağdan bazı belgeleri sızdırdı. Makinede kötü amaçlı kod ve ikili dosyalar çalıştırarak, keşif ve yürütmeyi etkinleştirmek için bir web kabuğu yükleyerek ve web kabuğu, RDP erişimi ve ters kabuk gibi çeşitli yaklaşımlarla kötü amaçlı yazılım yüklerini bırakarak bir dayanak noktası elde ettiler.
Saldırganlar ağa girdikten sonra Mimikatz ve WebBrowserPassView gibi araçları kullanarak kimlik bilgilerini çaldılar ve sıkıştırma ve şifreleme için 7zip kullanarak hassas belgeleri sızdırdılar.
Birkaç önemli gösterge, bu saldırıyı kodda Çince dilinin kullanılması ve Çince forumlarda bilinen bir yükleyiciye dayalı özel bir yükleyicinin geliştirilmesinin ötesinde APT41’e bağlıyor. Göstergelerden biri, saldırganlar tarafından, çoğunlukla benzer Çinli hack grupları tarafından kullanılan karmaşık bir modüler RAT olan ShadowPad’in konuşlandırılmasıdır.
Araştırmacılar son ShadowPad yükünü alamasa da, kullanılan yükleyiciler daha önce APT41 grubuna atfedilenlerle eşleşiyor. Ayrıca, 2022 raporunda daha önce APT41’e bağlanmış bir komuta ve kontrol (C2) sunucusunun kullanımı da dahil olmak üzere önemli altyapı örtüşmesi mevcut.
Son olarak saldırganlar, geçmişteki APT41 kampanyalarında tekrar tekrar gözlemlenen bir taktik olan, güncel olmayan bir Bitdefender yürütülebilir dosyasını kullanarak belirli bir yan yükleme tekniği kullandılar.
Gelişmiş Araçlar ve Teknikler
Saldırganlar, bir dayanak noktası oluşturmak ve kalıcılığı sürdürmek için çeşitli yöntemler kullanarak yüksek düzeyde teknik yeterlilik gösterdiler. Web kabukları dağıttılar, RDP erişiminden yararlandılar ve kötü amaçlı yazılımları bırakmak için ters kabuklar oluşturdular; bunlara GoLang’da yazılmış, muhtemelen Windows Defender’dan kaçınmak için tasarlanmış benzersiz bir Cobalt Strike yükleyicisi de dahildi.
Çin APT grupları, iki devlet arasındaki gerginlik ve anlaşmazlıkların artmasıyla birlikte Tayvan’ın egemenliği ve bütünlüğü için özel bir risk oluşturuyor.