Çin devlet destekli tehdit aktörü olarak bilinen taş panda Japon varlıklarına yönelik saldırılarında yeni bir gizli enfeksiyon zinciri kullandığı gözlemlendi.
Kaspersky tarafından yayınlanan ikiz raporlara göre, hedefler arasında Japonya’daki medya, diplomatik, hükümet ve kamu sektörü kuruluşları ve düşünce kuruluşları yer alıyor.
APT10, Bronze Riverside, Cicada ve Potassium olarak da adlandırılan Stone Panda, Çin için stratejik olarak önemli olarak tanımlanan kuruluşlara yönelik saldırıları ile bilinen bir siber casusluk grubudur. Tehdit aktörünün en az 2009’dan beri aktif olduğuna inanılıyor.
Mart ve Haziran 2022 arasında gözlemlenen en son saldırılar, sahte bir Microsoft Word dosyasının ve hedefli kimlik avı e-postaları yoluyla yayılan RAR formatında kendi kendine açılan bir arşiv (SFX) dosyasının kullanılmasını içeriyor ve bu da bir arka kapının yürütülmesine yol açıyor. LODEINFO.
Maldoc, kullanıcıların killchain’i etkinleştirmek için makroları etkinleştirmesini gerektirirken, Haziran 2022 kampanyasının bu yöntemi, yürütüldüğünde kötü amaçlı etkinlikleri gizlemek için zararsız bir yem Word belgesi görüntüleyen bir SFX dosyası lehine bıraktığı bulundu.
Makro etkinleştirildikten sonra, biri (“NRTOLF.exe”) K7Security Suite yazılımından meşru bir yürütülebilir dosya olan ve daha sonra DLL yoluyla sahte bir DLL (“K7SysMn1.dll”) yüklemek için kullanılan iki dosya içeren bir ZIP arşivi bırakır. Yan yükleme.
Güvenlik uygulamasının kötüye kullanılması bir yana, Kaspersky, Haziran 2022’de, parola korumalı bir Microsoft Word dosyasının, makroları etkinleştirdikten sonra DOWNIISSA adlı dosyasız bir indirici sağlamak için bir kanal görevi gördüğü başka bir ilk bulaşma yöntemini keşfettiğini söyledi.
Rus siber güvenlik şirketi, “Gömülü makro, DOWNIISSA kabuk kodunu oluşturur ve mevcut sürece (WINWORD.exe) enjekte eder” dedi.
DOWNIISSA, sabit kodlanmış bir uzak sunucuyla iletişim kuracak şekilde yapılandırılmıştır ve bunu, LODEINFO’nun şifrelenmiş bir BLOB yükünü almak için kullanır; bu, rastgele kabuk kodu yürütebilen, ekran görüntüleri alabilen ve dosyaları sunucuya geri sızdırabilen bir arka kapıdır.
İlk olarak 2019’da görülen kötü amaçlı yazılım, Kaspersky’nin Mart, Nisan, Haziran ve Eylül 2022’de altı farklı sürüm belirlemesiyle çok sayıda iyileştirme geçirdi.
Değişiklikler, radarın altında uçmak için gelişmiş kaçınma tekniklerini, “en_US” yerel ayarına sahip makinelerde yürütmeyi durdurmayı, desteklenen komutlar listesini gözden geçirmeyi ve Intel 64-bit mimarisi için desteği genişletmeyi içeriyor.
Araştırmacılar, “LODEINFO kötü amaçlı yazılımı çok sık güncelleniyor ve aktif olarak Japon kuruluşlarını hedef almaya devam ediyor” dedi.
“LODEINFO ve ilgili kötü amaçlı yazılımlardaki güncellenmiş TTP’ler ve iyileştirmeler […] saldırganın özellikle güvenlik araştırmacıları için algılama, analiz ve araştırmayı zorlaştırmaya odaklandığını gösterir.”