Soul çerçevesinden tek bir aktörün sorumlu olup olmadığı şu anda net değil, ancak Çinli bir gruba atfedildiği doğrulandı.
Check Point’teki siber güvenlik araştırmacıları, 2020’nin sonlarında keşfedilen ve ilk bulaşma vektörünün daha önce bir virüsle ilişkilendirilenle aynı olduğu bir kampanyaya ilişkin bulgularını paylaştılar. Çin APT grubu Keskin Panda olarak adlandırılan.
Son kampanyalarında hedef Güneydoğu Asya’daki devlet kurumları oldu. Araştırmacılar, Sharp Panda’nın Vietnam, Tayland ve Endonezya dahil olmak üzere Güneydoğu Asya ülkelerini hedef alan çok sayıda kampanyaya dahil olduğunu belirtiyor.
Çin Casusluk Grubu SoulSearcher Loader’ı Bırakın
Grup, bu seferdeki taktiklerini değiştirdi, çünkü VictoryDll kullanmak yerine, Soul modüler çerçevesini yüklemek için SoulSearcher yükleyicinin yeni sürümünü kullanıyorlar. Bu çerçeve daha önce BİT, savunma ve sağlık sektörlerini hedef alan başka bir casusluk kampanyasında gözlemlendi. Güneydoğu Asya.
Soul çerçevesinden tek bir aktörün sorumlu olup olmadığı şu anda net değil, ancak Çinli bir gruba atfedildiği doğrulandı. Devam eden bu gözetleme operasyonunda, Sharp Panda özellikle Güneydoğu Asya devlet kurumlarını kullanarak hedef aldı. kimlik avı e-postaları bu sayede hedeflerinin ağlarına ilk erişimi elde ettiler.
E-posta Analizi
Check Point araştırmacılarına göre, bu e-postalar hükümet temalı tuzaklar içeren bir Word belgesi içeriyor. Saldırganlar, aşağıdakilerle donatılmış kötü amaçlı bir RTF belgesini indirmek ve yürütmek için uzak bir şablondan yararlandı: RoyalRoad kiti.
Ağı işgal ettikten sonra, araştırmacıların “5.t İndirici” adını verdiği özel bir DLL indiricisi ve son yükü teslim eden başka bir 2. aşama yükleyiciden oluşan bir dizi bellek içi yükleyiciyi başlatır.
Daha önce Sharp Panda kampanyalarında görülen son yük, uzaktan erişim ve veri hırsızlığına olanak tanıyan VictoryDll idi. Bu kampanyada saldırganlar, Soul modüler arka kapısının farklı modüllerini belleğe indirebilen, şifresini çözebilen ve yükleyebilen SoulSearcher yükleyicinin yeni bir sürümünü teslim eden coğrafi çitle çevrili bir C2 sunucusuna sahip bir devlet kuruluşunu hedef aldı.
Saldırı Nasıl Çalışır?
İçinde Blog yazısı, araştırmacılar, indiricinin RoyalRoad RTF tarafından res6.a olarak diske bırakıldığını ve işlevselliği önceki Sharp Panda etkinlikleriyle tutarlı olan rundll32.exe, Start A ile zamanlanmış bir görev tarafından yürütüldüğünü yazdı. Saldırganların C2 sunucuları, coğrafi sınırlama nedeniyle hedef konumlarının IP adreslerinden gelen isteklere yük döndürür.
Saldırganların base64 kodlamalı RC4 kullanarak şifreli veri göndermeye yönelik önceki taktiklerinin aksine, yeni kampanyada yük talebi, belirtilen ana bilgisayar parametresi ve hem MD5 karma hem de düz metin olarak aynı PHP yoluna gönderilir. Yeni sürüm, dize şifrelemenin döngülü daha basit bir sürümüdür. KORO şifreli bir karakter
Hangi Veriler Çalınır?
İndirici, işletim sistemi adı, ana bilgisayar adı, sürüm, kullanıcı adı, sistem türü (32 veya 64 bit), ağ bağdaştırıcılarının MAC adresleri ve virüsten koruma yazılımı bilgileri gibi hassas cihaz verilerini toplar. Cihaz yeterince ümit veriyorsa, sunucu bir sonraki aşama yürütülebilir dosyasını şifreli biçimde ve MDS sağlama toplamını içerir.
ALAKALI HABERLER
- Çinli bilgisayar korsanları kötü amaçlı yazılımı Windows logosuna gizler
- Çinli bilgisayar korsanları Windows, Linux ve macOS’u vurdu
- Çinli bilgisayar korsanları Group-IB siber güvenlik firmasını vurdu
- Çinli devlet bilgisayar korsanları Log4j güvenlik açığından yararlanıyor
- FortiOS’a arka kapı: Çinli bilgisayar korsanları 0-day kullanıyor