Tehdit aktörü aradı Kızılsinek Bu yılın altı ay kadar uzun bir süre boyunca, ShadowPad olarak adlandırılan bilinen bir kötü amaçlı yazılım kullanılarak isimsiz bir Asya ülkesinde bulunan ulusal bir şebekenin ele geçirilmesiyle bağlantılıydı.
Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda, “Saldırganlar kimlik bilgilerini çalmayı ve kuruluşun ağındaki birden fazla bilgisayarın güvenliğini aşmayı başardılar.” dedi. “Saldırı, bir dizi casusluk müdahalesinin sonuncusu. [critical national infrastructure] hedefler.”
PoisonPlug olarak da bilinen ShadowPad, PlugX uzaktan erişim truva atının devamı niteliğindedir ve ihlal edilen ağlardan hassas verileri toplamak için gerektiğinde uzak bir sunucudan dinamik olarak ek eklentiler yükleyebilen modüler bir implanttır.
En az 2019’dan bu yana Çin bağlantılı ulus-devlet gruplarının sayısı giderek artan bir liste tarafından çeşitli endüstri sektörlerindeki kuruluşları hedef alan saldırılarda yaygın olarak kullanılıyor.
Secureworks Karşı Tehdit Birimi (CTU), Şubat 2022’de “ShadowPad’in şifresinin bellekte özel bir şifre çözme algoritması kullanılarak çözüldüğünü” belirtti. “ShadowPad, ana bilgisayar hakkındaki bilgileri çıkarır, komutları yürütür, dosya sistemi ve kayıt defteriyle etkileşime girer ve genişletmek için yeni modüller dağıtır. işlevsellik.”
Asya varlığını hedef alan bir saldırının ilk işaretinin, ShadowPad’in tek bir bilgisayarda çalıştırıldığı ve ardından üç ay sonra 17 Mayıs’ta arka kapıyı çalıştırdığı 23 Şubat 2023’te kaydedildiği söyleniyor.
Aynı zamanda, rastgele kabuk kodunu yürütmek için kullanılan Packerloader adı verilen bir araç da dağıtıldı; bu araç, tüm kullanıcılara erişim izni vermek için dump_diskfs.sys olarak bilinen bir sürücü dosyasının izinlerini değiştirmek için kullanılıyor ve bu da sürücünün kullanılmış olabileceği olasılığını artırıyor. daha sonra dışarı sızmak için dosya sistemi dökümleri oluşturun.
Tehdit aktörlerinin ayrıca sisteme bağlı depolama aygıtları hakkında bilgi toplamak, Windows Kayıt Defteri’nden kimlik bilgilerini boşaltmak ve aynı zamanda makinedeki güvenlik olay günlüklerini temizlemek için PowerShell komutlarını çalıştırdıkları da gözlemlendi.
Symantec, “29 Mayıs’ta saldırganlar geri döndü ve kimlik bilgilerini LSASS’tan boşaltmak için ProcDump’ın yeniden adlandırılan bir sürümünü (dosya adı: alg.exe) kullandı.” dedi. “31 Mayıs’ta, oleview.exe’yi yürütmek için zamanlanmış bir görev kullanıldı ve çoğunlukla yan yükleme ve yanal hareket gerçekleştirmesi bekleniyor.”
Redfly’ın, enfeksiyonu ağdaki diğer makinelere yaymak için çalıntı kimlik bilgilerini kullandığından şüpheleniliyor. Yaklaşık iki aylık bir aradan sonra, rakip 27 Temmuz’da bir keylogger kurmak ve 3 Ağustos’ta bir kez daha LSASS ve Kayıt Defteri’nden kimlik bilgilerini çıkarmak için yeniden sahneye çıktı.
Symantec, kampanyanın, APT41 (diğer adıyla Winnti) olarak adlandırılan Çin devlet destekli gruba atfedilen daha önce tanımlanmış faaliyetlerle altyapı ve araç örtüşmelerini paylaştığını ve Redly’nin neredeyse yalnızca kritik altyapı varlıklarını hedeflemeye odaklandığını söyledi.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Ancak bilgisayar korsanlığı ekibinin bugüne kadar herhangi bir yıkıcı saldırı düzenlediğine dair hiçbir kanıt yok.
Şirket, “Ulusal şebekede uzun vadeli ve kalıcı bir varlık sürdüren tehdit aktörlerinin, siyasi gerilimin arttığı dönemlerde diğer eyaletlerdeki güç kaynaklarını ve diğer hayati hizmetleri kesintiye uğratmak üzere tasarlanmış saldırılara yönelik açık bir risk oluşturduğunu” belirtti.
Gelişme, Microsoft’un, Çin’e bağlı aktörlerin ABD’yi hedef alan nüfuz operasyonlarında ve Güney Çin Denizi bölgesindeki “bölgesel hükümetlere ve endüstrilere karşı istihbarat toplama ve kötü amaçlı yazılım yürütme yürütmede” kullanılmak üzere yapay zeka tarafından oluşturulan görsel medyaya odaklandıklarını açıklamasıyla birlikte geldi. yılın başından beri.
“Ahududu Tayfunu [formerly Radium] Teknoloji devi, sürekli olarak hükümet bakanlıklarını, askeri birimleri ve kritik altyapıya, özellikle de telekomünikasyona bağlı kurumsal varlıkları hedef alıyor” dedi. “Ocak 2023’ten bu yana, Raspberry Typhoon özellikle ısrarcıydı.”
Diğer hedefler arasında ABD savunma sanayi üssü (Circle Typhoon / DEV-0322, Mulberry Typhoon / Manganese ve Volt Typhoon / DEV-0391), ABD kritik altyapısı, Avrupa ve ABD’deki devlet kurumları (Storm-0558) ve Tayvan (Storm-0558) yer alıyor. Kömür Tayfunu / Krom ve Keten Tayfunu / Fırtına-0919).
Bu aynı zamanda Atlantik Konseyi’nin, ülkede faaliyet gösteren şirketlerin ürünlerindeki güvenlik kusurlarını Sanayi ve Bilgi Teknolojileri Bakanlığı’na (MIIT) açıklamasını gerektiren bir Çin yasasının, ülkenin güvenlik açıklarını biriktirmesine ve devlet korsanlarının “arttırılmasına” yardımcı olmasına izin verdiğini belirten bir raporun ardından geldi. Operasyonel tempo, başarı ve kapsam.”