Çin ile bağlantısı olan tehdit aktörlerinin, ArcGIS sistemini tehlikeye atan ve onu bir yıldan fazla bir süre boyunca arka kapıya dönüştüren yeni bir kampanyaya atfedildiği belirtiliyor.
ReliaQuest’e göre bu etkinlik, Çin devleti destekli bir bilgisayar korsanlığı grubunun eseri. Keten TayfunuAynı zamanda Ethereal Panda ve RedJuliett olarak da takip ediliyor. ABD hükümetine göre, Integrity Technology Group olarak bilinen, halka açık, Pekin merkezli bir şirket olduğu değerlendiriliyor.
Siber güvenlik şirketi, The Hacker News ile paylaşılan bir raporda, “Grup, coğrafi haritalama uygulamasının Java sunucusu nesne uzantısını (SOE) akıllıca işleyen bir web kabuğuna dönüştürdü” dedi. “Özel kontrol için erişimi sabit kodlu bir anahtarla kapatarak ve bunu sistem yedeklemelerine yerleştirerek, tam sistem kurtarma işlemine dayanabilecek derin, uzun vadeli kalıcılık elde ettiler.”
Flax Typhoon, arazide yaşama (LotL) yöntemlerini ve uygulamalı klavye etkinliğini kapsamlı bir şekilde birleştirerek, böylece yazılım bileşenlerini kötü niyetli saldırılar için araçlara dönüştürürken aynı zamanda tespitten kaçarak ticari zanaatında “gizliliği” yakalamasıyla tanınır.
Saldırı, saldırganların güvenlik önlemlerini atlamak ve kurbanların sistemlerine yetkisiz erişim elde etmek için güvenilir araçları ve hizmetleri nasıl giderek daha fazla kötüye kullandığını ve aynı zamanda normal sunucu trafiğine karıştığını gösteriyor.
“Alışılmadık derecede akıllı saldırı zinciri”, kötü amaçlı bir SOE dağıtmak için bir portal yönetici hesabını tehlikeye atarak halka açık bir ArcGIS sunucusunu hedef alan tehdit aktörlerini içeriyordu.
“Saldırganlar kötü amaçlı SOE’yi standart bir yöntem kullanarak etkinleştirdi [JavaSimpleRESTSOE] ReliaQuest, ArcGIS uzantısının dahili sunucuda komutları genel portal aracılığıyla çalıştırmak için bir REST işlemini çağırarak etkinliklerinin fark edilmesini zorlaştırdığını söyledi. “Flax Typhoon, sabit kodlu bir anahtar ekleyerek diğer saldırganların ve hatta meraklı yöneticilerin bu anahtara erişime müdahale etmesini engelledi.”
“Web kabuğunun”, ağ keşif işlemlerini yürütmek, yeniden adlandırılmış bir SoftEther VPN çalıştırılabilir dosyasını (“bridge.exe”) “System32” klasörüne yükleyerek kalıcılık oluşturmak ve ardından sunucu her yeniden başlatıldığında ikili dosyayı otomatik olarak başlatmak için “SysBridge” adlı bir hizmet oluşturmak için kullanıldığı söyleniyor.
“bridge.exe” işleminin, harici sunucuya gizli bir VPN kanalı kurmanın birincil amacı ile 443 numaralı bağlantı noktasında saldırgan tarafından kontrol edilen bir IP adresine giden HTTPS bağlantıları kurduğu tespit edildi.
Araştırmacılar Alexa Feminella ve James Xiang, “Bu VPN köprüsü, saldırganların hedefin yerel ağını uzak bir konuma genişletmesine olanak tanıyor ve saldırganın sanki iç ağın bir parçasıymış gibi görünmesini sağlıyor” dedi. “Bu onların ağ düzeyindeki izlemeyi atlamalarına ve ek yanal hareket ve sızma yapmalarına olanak tanıyan bir arka kapı gibi davranmalarına olanak sağladı.”
Tehdit aktörlerinin kimlik bilgilerini ele geçirmek ve ağa daha fazla sızmak için özellikle BT personeline ait iki iş istasyonunu hedef aldıkları söyleniyor. Daha ileri araştırmalar, saldırganın idari hesaba erişimi olduğunu ve şifreyi sıfırlayabildiğini ortaya çıkardı.
Araştırmacılar, “Bu saldırı, yalnızca saldırganların yaratıcılığını ve gelişmişliğini değil, aynı zamanda güvenilir sistem işlevselliğinin geleneksel tespitten kaçınmak için silah haline getirilmesi tehlikesini de vurguluyor” dedi. “Bu sadece kötü niyetli etkinlikleri tespit etmekle ilgili değil; önemli olan meşru araçların ve süreçlerin nasıl manipüle edilebileceğini ve size karşı çevrilebileceğini anlamakla ilgili.”