Çinli Hackerlar Yürütme Zincirini Ele Geçirmek için .chm Dosyalarını Kullanıyor

   Eylül 21, 2023  Posted in CyberSecurityNews


Çinli Hackerlar Yürütme Zincirini Ele Geçirmek ve Kötü Amaçlı Yazılım Dağıtmak için .chm dosyalarını kullanıyor

Çin devleti destekli TAG-74 grubunun, aşağıdaki ülkelerdeki kuruluşlar hakkında istihbarat toplama faaliyetleri yürüttüğü biliniyor: –

TAG-74, DLL arama emri kaçırma yürütme zincirini tetiklemek ve özelleştirilmiş bir ReVBShell VBScript arka kapısını yüklemek üzere kötü amaçlı yazılım dağıtmak için .chm dosyalarını kullanır.

Recorded Future’ın Insikt Group’undaki siber güvenlik analistleri yakın zamanda TAG-74’e atfedilen ve öncelikle Çin askeri istihbaratıyla bağlantılı Güney Koreli akademik, siyasi ve hükümet kurumlarını hedef alan, Çin devleti destekli bir siber casusluk kampanyasını analiz etti.

Bu eksiksiz değerlendirme öncelikle geçmiş hedefleme davranışına ve PLA Kuzey Tiyatro Komutanlığı ile uyumlu aktörlerin olağan operasyon alanlarına dayanmaktadır.



Belge

ÜCRETSİZ Web Semineri

Çeşitli saldırı türleri ve bunların nasıl önleneceği hakkında bilgi edinmek için Canlı DDoS Web Sitesi ve API Saldırı Simülasyonu web seminerine katılın.


Enfeksiyon Zinciri

TAG-74’ün 2020’den bu yana gözlemlenen enfeksiyon zinciri, üç ana bileşen içeren .chm dosyaları aracılığıyla hedef odaklı kimlik avına dayanıyor.

Aşağıda, .chm dosyalarının bu üç temel bileşeninden bahsettik: –

  • Gömülü meşru bir yürütülebilir dosya.
  • Kötü amaçlı bir DLL.
  • Bir HTML dosyası.

HTML dosyası, hh.exe ve vias.exe’yi bitmap kısayol nesneleri aracılığıyla çalıştırarak bir DLL arama sırası ele geçirme zincirini başlatır; nesnelere sırayla fare tıklamalarının simülasyonu.

Çinli Hackerlar .chm Dosyalarını Kullanıyor
Enfeksiyon Zinciri (Kaynak – Kaydedilen Gelecek)

Yüklenen kötü amaçlı DLL, %TEMP% konumunda özelleştirilmiş bir ReVBShell VBscript arka kapısı oluşturur ve çalıştırır.

TAG-74, çeşitli sağlayıcılardan Güney Kore VPS altyapısını ve C2 için dinamik DNS alanlarını kullanır ve genellikle Güney Koreli kuruluşların kimliğine bürünür.

Kullanılan IP’ler

Aşağıda TAG-74 tarafından kullanımda olduğu gözlemlenen tüm IP adreslerinden bahsettik:-

  • 45.133.194[.]135
  • 92.38.135[.]92
  • 141.164.60[.]28
  • 158.247.223[.]50
  • 158.247.234[.]163

Teknik Analiz

TAG-74, C2 sunucusunun NOOP yanıtından sonra belirli bir süre boyunca uyuyan değiştirilmiş bir ReVBShell arka kapısını kullanır. TAG-74, aralığı ayarlamak için ek C2 komut özelliğiyle birlikte uyku süresini tipik olarak 5 saniyeden 5 dakikaya değiştirir.

Çinli Hackerlar .chm Dosyalarını Kullanıyor
Özelleştirilmiş ReVBShell’de mevcut ek işlevler (Kaynak – Kaydedilen Gelecek)

Insikt Group, TAG-74’ün C2 altyapısıyla iletişim kuran Bisonal örnekleri tespit etti ve bu, bunun ReVBShell’in ötesinde gelişmiş özelliklere sahip, devam eden bir kötü amaçlı yazılım ailesi olduğunu öne sürdü.

Bisonal, 2010’dan beri aşağıdaki ülkelerde aktif olan, Çin devleti destekli özel bir arka kapıdır: –

Sahte Alan Adları

Aşağıda, TAG-74’ün sahtekarlık yaptığı tüm alanlardan bahsettik: –

  • attaum.servecounterstrike[.]iletişim
  • attachmaildaum.servecounterstrike[.]iletişim
  • attachmaildaum.servblog[.]açık
  • oturum açmadaums.ddnsking[.]iletişim
  • Loginsdaum.viewdns[.]açık
  • bizmeka.viewdns[.]açık
  • hamonsoft.servblog[.]açık
  • hanseo1.hopto[.]kuruluş
  • ev vergisi.onthewifi[.]iletişim
  • mailplug.ddnsking[.]iletişim
  • minjoo2.servehttp[.]iletişim
  • necgo.servblog[.]açık
  • pixoneer.myvnc[.]iletişim
  • puacgo1.servemp3[.]iletişim
  • satreci.bounceme[.]açık
  • sejonglog.hopto[.]kuruluş
  • unipedu.servebeer[.]iletişim

Azaltmalar

Aşağıda siber güvenlik araştırmacılarının sunduğu tüm azaltımlardan bahsettik.

  • Listelenen harici IP adresleri ve etki alanlarına yönelik bağlantıları uyarmak ve potansiyel olarak engellemek için IDS, IPS veya ağ savunma sistemlerinizi kurun.
  • Sınırlı meşru kullanımları nedeniyle olası kötüye kullanımı azaltmak için e-posta ağ geçitlerinde ve uygulama reddetme listelerinde .chm ve benzeri dosya eklerini engelleyin.
  • Kaydedilen Gelecek, Komuta ve Kontrol Güvenliği Kontrol Akışındaki kötü amaçlı sunucu yapılandırmalarını tanımlar; böylece istemcilere, izinsiz giriş tespiti ve düzeltme için bu C2 sunucularını uyarmaları ve engellemeleri önerilir.
  • Devlet destekli ve mali motivasyonlu tehdit grupları bunları ağ izinsiz girişleri için sıklıkla kullandığından, DDNS alt alan adlarıyla ilgili tüm TCP/UDP ağ trafiğini bloke ettiğinizden ve günlüğe kaydettiğinizden emin olun.
  • Kuruluşunuzu taklit eden hatalı alan adları da dahil olmak üzere, alan adı kötüye kullanımını tespit etmek için Marka Zekası modüllerini kullanın.

Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.





Source link