Tehdit aktörleri, çeşitli siber güvenlik riskleri oluşturan çeşitli bireyleri ve grupları kapsar. Faaliyetleri ve taktikleri zaman içinde büyük ölçüde gelişti ve öncelikli olarak “casusluk”, “yıkıcılık” ve “mali kazanç” amaçlıydı.
DFIR Raporunun Tehdit Intel Ekibi yakın zamanda Çinli bilgisayar korsanlarının araç setini ve etkinlik geçmişini ortaya çıkardı.
Ocak-Şubat 2024’te araştırmacılar, kapsamlı “saldırı altyapısını” ortaya çıkaran açık bir “açık dizin” aracılığıyla “You Dun” (“Kara Bulut Kalkanı Teknik Ekibi” olarak da bilinir) adlı Çinli bir bilgisayar korsanlığı grubunu ortaya çıkardı.
Grup, gelişmiş bir keşif araçları cephaneliği kullandı: –
- WebLogicScan (Python tabanlı bir WebLogic güvenlik açığı tarayıcısı)
- Vulmap (daha geniş web güvenlik açığı değerlendirmesi için)
- Xray (özel web sitesi güvenlik açığı taraması için)
- dizinsearch (URL yolu keşfi için)
Birincil saldırı metodolojileri, Güney Koreli ilaç kuruluşlarını hedef alarak “SQLmap” kullanan “SQL enjeksiyon” saldırıları yoluyla “Zhiyuan OA” yazılım kurulumlarından yararlanmayı içeriyordu.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Sömürü sonrası faaliyetler için ‘hain’ (Linux sistemleri için) ve ‘CDK’ (özellikle “Docker” ve “Kubernetes” ortamları için) gibi gelişmiş “ayrıcalık yükseltme” araçlarını kullandılar.
Grubun C2 altyapısı, 18 Ocak ile 10 Şubat 2024 tarihleri arasında proxy görevi gören sekiz farklı “IP adresi” üzerinden hem “Cobalt Strike” (genişletilmiş yetenekler için ‘TaoWu’ ve ‘Ladon’ eklentileri ile güçlendirilmiş) hem de “Cobalt Strike” kullanılarak çalıştırılmıştır. DFIR raporunda uzaktan erişim için Viper” çerçevesinin yer aldığı belirtiliyor.
Yasadışı faaliyetlerini kayda değer bir şekilde genişleten grup, kurbanları “You_Dun” olarak bilinen bir yönetici tarafından yönetilen Telegram grupları “You_Dun”a yönlendiren özel bir fidye yazılımı çeşidi (“LB3.exe”) oluşturmak için sızdırılan “LockBit 3.0” fidye yazılımı oluşturucusundan yararlandı. EVA”.
Grup, “meşru penetrasyon testi hizmetleri” maskesini korurken, “yetkisiz veri satışları”, “DDoS saldırıları” ve “fidye yazılımı operasyonları” gibi çeşitli kötü amaçlı faaliyetlerde bulundu.
Bu, hem “teknik uzmanlığın” hem de “suç girişiminin” sofistike bir karışımını gösteriyor.
.webp)
Güvenlik analistleri, tehdit aktörlerinin, kırık bir lisans anahtarı (‘filigran: 987654321’) kullanarak “116.212.120.32” IP adresine “Cobalt Strike” (uzaktan erişim aracı) konuşlandırarak, operasyonlarında birden fazla bilgisayar korsanlığı aracı kullandığını tespit etti.
Saldırgan arkasında TaoWu ve Landon (gelişmiş yetenekler için Cobalt Strike uzantıları) dahil olmak üzere ek saldırı araçları içeren “红队版.zip” adlı bir dosya bıraktı.
Daha sonra saldırı altyapılarını yönetmek için 60000 numaralı bağlantı noktasında varsayılan SSL sertifikalarıyla yapılandırılmış Viper adlı bir komuta ve kontrol (C2) çerçevesi kurdular.
Viper’ın yerleşik Metasploit (vipermsf) işlevselliğini kullanarak, WPCargo eklentisindeki bir güvenlik açığı (CVE-2021-25003) aracılığıyla Amazon Web Services (AWS) tarafından barındırılan WordPress web sitesini tehlikeye attılar.
Daha üst düzey sistem erişimi elde etmek için ayrıcalık yükseltme araçlarını kullandılar: –
- CDK (Docker konteyner kısıtlamalarından kaçmak için)
.webp)
- Hain (birden fazla Linux ayrıcalık yükseltme istismarını içerir)
.webp)
Nihai hedefleri LockBit fidye yazılımını (özellikle hXXps://t.me/You_Dun adresindeki “You_Dun” Telegram kanalına bağlı LB3.exe sürümünü) dağıtmak gibi görünüyordu.
.webp)
Saldırı kampanyası, özellikle “hükümet”, “eğitim”, “sağlık” ve “sağlık” konularına odaklanarak “Güney Kore”, “Çin”, “Tayland”, “Tayvan” ve “İran” gibi birçok Asya ülkesindeki kuruluşları hedef aldı. ‘lojistik sektörleri.’
.webp)
Saldırganlar, birden fazla IP adresi (“43.228.89.245-248”, “103.228.108.247”, 115.126.107.244”, “116.212.120.32” ve “163.53.216.157) kullanan “Forewin Telecom Group Limited” tarafından barındırılan proxy sunucular aracılığıyla faaliyet gösteriyordu. ”) gerçek konumlarını gizlemek için.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!