APT41 (diğer adıyla Brass Typhoon, Earth Baku, Wicked Panda veya Winnti) olarak bilinen üretken Çin ulus devlet aktörünün, kumar ve oyun endüstrisini hedef alan karmaşık bir siber saldırıya atfedildiği belirtiliyor.
Ido Naor, kurucu ortağı ve CEO’su, “En az altı aylık bir süre boyunca, saldırganlar hedeflenen şirketten ağ yapılandırmaları, kullanıcı şifreleri ve LSASS sürecindeki sırlar dahil ancak bunlarla sınırlı olmamak üzere değerli bilgileri gizlice topladı.” İsrailli siber güvenlik şirketi Security Joes, The Hacker News ile paylaştığı açıklamada şunları söyledi.
“İzinsiz giriş sırasında saldırganlar, güvenlik ekibinin tepkisine göre araç setlerini sürekli olarak güncellediler. Savunmacıların eylemlerini gözlemleyerek, tespitleri atlamak ve ele geçirilen ağa kalıcı erişimi sürdürmek için stratejilerini ve araçlarını değiştirdiler.”
Müşterilerinden birini hedef alan ve bu yıl yaklaşık dokuz ay süren çok aşamalı saldırı, siber güvenlik sağlayıcısı Sophos tarafından Kızıl Saray Operasyonu adı altında takip edilen bir izinsiz giriş seti ile örtüşüyor.
Naor, şirketin olaya dört ay önce müdahale ettiğini belirterek, “Bu saldırılar devlet destekli karar vericilere bağlı. Bu sefer APT41’in mali kazanç peşinde olduğundan büyük bir güvenle şüpheleniyoruz.”
Kampanya gizlilik göz önünde bulundurularak tasarlandı ve yalnızca ortamda kurulu güvenlik yazılımını atlatmakla kalmayıp aynı zamanda kritik bilgileri toplayan ve kalıcı uzaktan erişim için gizli kanallar oluşturan özel bir araç seti kullanarak hedeflerine ulaşmak için çeşitli taktiklerden yararlanıyor.
Güvenlik Joes, APT41’i hem “son derece becerikli hem de metodik” olarak tanımladı ve casusluk saldırıları düzenleme ve tedarik zincirini zehirleme yeteneğini öne sürerek fikri mülkiyet hırsızlığına ve fidye yazılımı ve kripto para birimi madenciliği gibi mali amaçlı saldırılara yol açtı.
Saldırıda kullanılan kesin ilk erişim vektörü şu anda bilinmiyor, ancak internete yönelik web uygulamalarında aktif güvenlik açıklarının veya tedarik zincirinde bir uzlaşmanın bulunmadığı göz önüne alındığında, kanıtlar bunun hedef odaklı kimlik avı e-postaları olduğu yönünde.
Şirket raporunda, “Hedeflenen altyapıya girdikten sonra saldırganlar, erişimlerini genişletmek için hizmet ve yönetici hesaplarının şifre karmalarını toplamayı amaçlayan bir DCSync saldırısı gerçekleştirdi.” dedi. “Bu kimlik bilgileriyle, özellikle yönetici ve geliştirici hesaplarına odaklanarak kalıcılık sağladılar ve ağ üzerinde kontrolü sürdürdüler.”
Saldırganların sistemli bir şekilde keşif ve sömürü sonrası faaliyetler yürüttüğü, tehdide karşı koymak için atılan adımlara yanıt olarak genellikle araç setinde ayarlamalar yaptığı ve nihai hedef olarak ek yük indirip yürütmek amacıyla ayrıcalıklarını artırdığı söyleniyor.
Hedeflerini gerçekleştirmek için kullanılan tekniklerden bazıları Phantom DLL Ele Geçirme ve yasal wmic.exe yardımcı programının kullanımını içerir; yürütmeyi tetiklemek için yönetici ayrıcalıklarına sahip hizmet hesaplarına erişimin kötüye kullanılmasından bahsetmiyorum bile.
Sonraki aşama, SMB protokolü üzerinden alınan TSVIPSrv.dll adlı kötü amaçlı bir DLL dosyasıdır ve ardından veri, sabit kodlu bir komut ve kontrol (C2) sunucusuyla bağlantı kurar.
“Sabit kodlanmış C2 başarısız olursa, implant aşağıdaki URL’yi kullanarak GitHub kullanıcılarını kazıyarak C2 bilgilerini güncellemeye çalışır: github[.]com/search?o=desc&q=pointers&s=joined&type=Kullanıcılar&.”
“Kötü amaçlı yazılım, GitHub sorgusundan dönen HTML’yi ayrıştırıyor ve yalnızca boşluklarla ayrılmış büyük harfli sözcük dizilerini arıyor. Bu sözcüklerden sekizini topluyor ve ardından yalnızca A ile P arasındaki büyük harfleri çıkarıyor. Bu işlem, 8 karakterlik bir dize oluşturuyor; Saldırıda kullanılacak yeni C2 sunucusunun IP adresini kodlayan.”
C2 sunucusuyla ilk temas, etkilenen sistemin profilinin çıkarılmasının ve bir soket bağlantısı aracılığıyla çalıştırılacak daha fazla kötü amaçlı yazılımın getirilmesinin yolunu açıyor.
Güvenlik Joes, tehdit aktörlerinin faaliyetleri tespit edildikten sonra birkaç hafta boyunca sessiz kaldıklarını, ancak sonunda LOLBIN’i kullanarak bir XSL dosyasının (“texttable.xsl”) değiştirilmiş bir sürümünde bulunan, oldukça karmaşık hale getirilmiş JavaScript kodunu yürütmek için yenilenmiş bir yaklaşımla geri döndüklerini söyledi. wmic.exe.
Araştırmacılar, “WMIC.exe MEMORYCHIP GET komutu başlatıldığında, çıktıyı biçimlendirmek için dolaylı olarak texttable.xsl dosyasını yükler ve saldırgan tarafından enjekte edilen kötü amaçlı JavaScript kodunun yürütülmesini zorlar” diye açıkladı.
JavaScript, time.qnapntp alanını kullanan bir indirici görevi görür.[.]com’u, makinenin parmak izini alan ve bilgileri sunucuya geri gönderen bir takip yükünü almak için bir C2 sunucusu olarak kullanır; bu, muhtemelen yalnızca tehdit aktörünün ilgisini çeken makineleri hedeflemeye hizmet eden belirli filtreleme kriterlerine tabidir.
Araştırmacılar, “Kodda gerçekten öne çıkan şey, ‘10.20.22’ alt dizesini içeren IP adreslerine sahip makinelerin kasıtlı olarak hedeflenmesidir” dedi. “
“Bu, saldırgan için hangi belirli cihazların değerli olduğunu, yani 10.20.22 alt ağlarındaki cihazları vurguluyor[0-9].[0-255]. Bu bilgileri ağ günlükleriyle ve dosyanın bulunduğu cihazların IP adresleriyle ilişkilendirerek, saldırganın yalnızca VPN alt ağındaki cihazların etkilendiğinden emin olmak için bu filtreleme mekanizmasını kullandığı sonucuna vardık.”