Japon kuruluşları, LODEINFO ve NOOPDOOR gibi kötü amaçlı yazılım ailelerini kullanarak, bazı durumlarda iki ila üç yıl arasında değişen bir süre boyunca gizlice radar altında kalarak, tehlikeye atılmış bilgisayarlardan hassas bilgileri toplayan bir Çin ulus devlet tehdit aktörünün hedefi haline geliyor.
İsrailli siber güvenlik şirketi Cybereason, kampanyayı şu ad altında takip ediyor: Guguk kuşu mızrağıbunun APT10 olarak adlandırılan ve Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon (eski adıyla Potassium) ve Stone Panda olarak da bilinen bilinen bir saldırı setiyle ilişkili olduğunu ileri sürüyor.
“NOOPDOOR’un arkasındaki aktörler, kampanya sırasında yalnızca LODEINFO’yu kullanmakla kalmadı, aynı zamanda tehlikeye atılmış kurumsal ağlardan veri sızdırmak için de yeni arka kapıyı kullandılar” denildi.
Bulgular, JPCERT/CC’nin tehdit aktörünün iki kötü amaçlı yazılım türünü kullanarak Japon kuruluşlarını hedef alan siber saldırılar düzenlediği konusunda uyarmasından haftalar sonra geldi.
ITOCHU Cyber & Intelligence, Ocak ayının başlarında, kötü amaçlı yazılımı yaymak için hedefli kimlik avı e-postalarının kullanıldığını vurgulayan, anti-analiz tekniklerini içeren LODEINFO arka kapısının güncellenmiş bir sürümünü ortaya çıkardığını duyurdu.
Başlangıçta tehdit aktörünü tanımlamak için MenuPass terimini ortaya atan Trend Micro, APT10’u Earth Tengshe ve Earth Kasha adını verdiği iki kümeden oluşan bir şemsiye grup olarak nitelendirdi. Hacker ekibinin en az 2006’dan beri faaliyette olduğu biliniyor.
Earth Tengshe, SigLoader ve SodaMaster’ı dağıtan kampanyalarla ilişkilendirilirken, Earth Kasha, LODEINFO ve NOOPDOOR’un münhasır kullanımına atfedilir. Her iki alt grubun da ağdaki verileri ve bilgileri sızdırma amacıyla kamuya açık uygulamaları hedef aldığı gözlemlenmiştir.
Earth Tengshe’nin ayrıca, LockFile, Atom Silo, Rook, Night Sky, Pandora ve Cheerscrypt gibi kısa ömürlü fidye yazılımı ailelerini işletme geçmişine sahip Bronze Starlight (diğer adıyla Emperor Dragonfly veya Storm-0401) kod adlı başka bir kümeyle de ilişkili olduğu söyleniyor.
Öte yandan Earth Kasha’nın, Nisan 2023’ten bu yana halka açık uygulamaları istismar ederek ilk erişim yöntemlerini değiştirdiği, Array AG (CVE-2023-28461), Fortinet (CVE-2023-27997) ve Proself (CVE-2023-45727) örneklerindeki yamalanmamış kusurlardan yararlanarak LODEINFO ve NOOPDOOR’u (diğer adıyla HiddenFace) dağıttığı tespit edildi.
LODEINFO, keyfi kabuk kodunu yürütmek, tuş vuruşlarını kaydetmek, ekran görüntüleri almak, işlemleri sonlandırmak ve dosyaları aktör tarafından kontrol edilen bir sunucuya geri aktarmak için çeşitli komutlarla birlikte gelir. ANEL Loader olarak bilinen başka bir APT10 arka kapısıyla kod benzerlikleri paylaşan NOOPDOOR, dosyaları yükleme ve indirme, kabuk kodunu yürütme ve daha fazla program çalıştırma işlevselliğine sahiptir.
Cybereason, “LODEINFO birincil arka kapı olarak kullanılıyor gibi görünüyor ve NOOPDOOR ikincil arka kapı olarak hareket ediyor ve tehlikeye atılan kurumsal ağda iki yıldan fazla bir süre kalıcılığı koruyor,” dedi. “Tehdit aktörleri, zamanlanmış görevleri kötüye kullanarak ortamda kalıcılığı koruyor.”