Broadcom’un Symantec’indeki tehdit avcısı buharı, Witchetty ve LookingFrog olarak da bilinen Çinli bir siber casusluk grubunun güncellenmiş bir araç seti kullanarak Afrika ve Orta Doğu’daki varlıkları hedeflediğini ortaya koyan bir tavsiye yayınladı.
Grup ilk olarak Nisan 2022’de ESET tarafından keşfedildi. Faaliyetleri, birinci aşama arka kapı (X4) ve ikinci aşama yük (LookBack) kullanılarak karakterize edilir.
Tavsiye, Witchetty’nin Saldırı Taktiklerini Açıklıyor
Symantec’in raporuna göre Witchetty, Çinli bir APT grubu Cicada, nam-ı diğer Stone Panda ve APT10 ile ilişkilendirilirken, TA410 ile bağlantısı da bildiriliyor. Bu grup daha önce ABD enerji şirketlerine yönelik hedefli saldırılarla bağlantılıydı.
Grup, araç setini sürekli olarak geliştirmektedir. Şu anda MS Windows logosunda bir arka kapıyı (Backdoor.Stegmap) gizlemek için bir steganografik teknik kullanıyor ve Orta Doğu’daki hükümetleri hedefliyor.
Yeni olmasa da bu, kötü amaçlı yazılımın bir görüntünün içine gizlendiği nadir bir tekniktir. Truva atı, dizinleri kaldırma ve oluşturma, dosyaları değiştirme, işlemleri başlatma/sonlandırma, yürütülebilir dosyaları çalıştırma/indirme, işlemleri numaralandırma ve sonlandırma ve belgeleri çalma gibi çeşitli işlevleri gerçekleştirebilir. Ayrıca kayıt defteri anahtarları oluşturabilir, okuyabilir ve silebilir.
Bu yılın başlarında Cicada, Japon varlıklarını hedefliyordu, ancak şimdi hedef listesini Kuzey Amerika, Asya ve Avrupa dahil olmak üzere çeşitli bölgelere genişletmiş görünüyor.
Alakalı haberler
- Saldırganlar, Mac kötü amaçlı yazılımlarını reklam resimlerinde saklıyor
- Hacker, kötü amaçlı yazılım yaymak için Twitter memlerini kullandı
- Etkilenen WAV dosyaları, PC’lere kötü amaçlı yazılım ve kripto madencileri yükler
- Çinli Hackerlar SMS Bomber Aracında Kötü Amaçlı Yazılım Dağıtıyor
- GoogleUserContent CDN Barındırma Görüntüleri Kötü Amaçlı Yazılım Bulaşmış
Saldırı Detayları
Bulaşma zinciri, içinde kötü amaçlı kod bulunan bir Microsoft Windows logosu olan GitHub bitmap dosyasını getirmek için bir DLL yükleyici kullanmayı gerektirir. Bu yükü gizleme tekniği, saldırganların onu GitHub gibi güvenilir, ücretsiz hizmetlerde barındırmasına yardımcı olur.
Witchetty, Şubat ve Eylül 2022 arasında iki Orta Doğu ülkesinin hükümetini ve bir Afrika ülkesinin borsasını hedef aldı. Grup, aşağıdaki şekilde izlenen ProxyShell ve ProxyLogon güvenlik açıklarından yararlandı:
- CVE-2021-31207
- CVE-2021-34473
- CVE-2021-34523
- CVE-2021-26855
- CVE-2021-27065
Broadcom’un blog gönderisine göre, saldırganlar, kimlik bilgilerini çalmadan ve ağ üzerinde yanal hareket sağlamadan önce herkese açık sunuculara web kabukları yükler.
Ayrıca bellek dökümleri yoluyla kimlik bilgilerini çalmak, web kabuklarını ve arka kapıları dağıtmak, komutları yürütmek, arka kapı dağıtımı ve özel araçlar yüklemek amacıyla bilgisayarlara kötü amaçlı yazılım yüklediler. Bu taktik, kurumsal ağlara ve özel araçlara diğer karada yaşama taktikleriyle sızma fırsatı verir ve hedeflenen kuruluşlarda uzun vadeli kalıcılığını sürdürmesini sağlar.
“Witchetty, ilgilenilen hedeflerden ödün vermek için araç setini sürekli olarak iyileştirme ve yenileme yeteneğini gösterdi.”
Symantec
Daha Fazla Windows Güvenlik Haberi
- Vidar Kötü Amaçlı Yazılımını Dağıtan Sahte Windows 11 İndirmeleri
- Cihazları Hacklemek için Windows Hesap Makinesini Kullanan QBot Kötü Amaçlı Yazılımı
- Kötü amaçlı yazılım, Windows PC’lere saldırmak için sahte Chrome güncellemesini cezbeder
- Kraken botnet, Windows Defender’ı atlıyor, kripto verilerini çalıyor
- Korsan oyunlardaki kötü amaçlı yazılım, Windows Güncellemelerini, Defender’ı devre dışı bırakır