Bilgisayar korsanları, çalınan verilerden, fidyelerden ve dolandırıcılık faaliyetlerinden para kazanmanın kazançlı potansiyeli nedeniyle giderek daha fazla mali amaçlı saldırılar gerçekleştiriyor.
İşletmelerin dijital devrimi, finansal işlemlerden yararlanmak ve hassas finansal bilgilere erişmek için daha fazla fırsat yarattı.
AttackIQ geçtiğimiz günlerde Çinli Winnti grubunun finansal amaçlı saldırıları yoğunlaştırdığını açıkladı.
Winnti, 2010’dan bu yana Çin hükümetiyle bağlantılı köklü bir siber casusluk ve mali kazanç grubudur.
Sağlık hizmetlerini hedefleme faaliyetleri, ana hedefleri tıbbi araştırmalar olmak üzere, COVID-19 sırasında artırıldı.
Tedarik zinciri saldırılarıyla tanınıyorlar ve kendilerine özgü arka kapı olan ShadowPad’in yanı sıra PlugX RAT’ı kullanıyorlar.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Winnti’nin CuckooBees Operasyonu (2022-05) birçok aşamada ilerler.
Aşağıda bu aşamalardan bahsettik: –
- Sistem keşfi için VBScript kullanılarak kötü amaçlı yazılım yürütme ve Webshell dağıtımı sonrası yerel keşif.
- Kayıt defteri kovanının çıkarılması ve Mimikatz aracılığıyla yerel kimlik bilgilerinin boşaltılması.
- Kapsamlı yerel ve ağ keşfi, ayrıntılı sistem ve ağ bilgilerinin toplanması.
- SpiderLoader ve Stashlog dahil olmak üzere Winnti kötü amaçlı yazılım cephaneliğinin dağıtımı.
- GUID alımını, DLL yandan yükleme yoluyla Privatelog dağıtımını, RDP aracılığıyla yanal hareketi ve HTTP aracılığıyla veri sızdırmayı içeren ek araç kullanıma sunma.
Winnti’nin Hasat Operasyonu (2021-09)
Aşağıda bunlardan bahsettik: –
- Yürütme ve kalıcılık için DLL yandan yükleme ve kod enjeksiyonu kullanılarak RAR dosyası aracılığıyla PlugX Teslimatı.
- Mimikatz kullanarak Yerel Kimlik Bilgilerinin Boşaltılması.
- Winnti Arka Kapı Dağıtımı, RunDLL32’yi kullanıyor ve kalıcılık için yeni bir hizmet yaratıyor.
- Kapsamlı sistem ve ağ keşfini içeren Veri Hazırlama.
- Veri Süzme, toplanan verileri aşamalandırma ve şifreli C2 kanalı aracılığıyla sızdırma.
Winnti’nin 2022-08 Kampanyası
Bu kampanya birden fazla aşama içeriyor ve aşağıda bunlardan bahsettik: –
- Kötü amaçlı yazılım dağıtımı DBoxAgent’ın ISO dosyası aracılığıyla gerçekleştirilir ve dosyalar DLL tarafından yükleme yoluyla bırakılır ve yürütülür.
- Yerel Sistem Keşfi, HTTPS sızması için ağ ve sistem bilgilerini toplama.
- SerialVlogger ve KeyPlug Dağıtımı, SerialVlogger yürütmesi için DLL yandan yüklemeyi kullanır, sistem keşfini gerçekleştirir ve kod enjeksiyonu yoluyla KeyPlug kötü amaçlı yazılımını dağıtır.
Her aşamada sisteme sızma, keşif ve kötü amaçlı yazılım dağıtımı için belirli MITRE ATT&CK teknikleri kullanılır.
Azaltmalar
Winnti tarafından kullanılan ve odaklanılması gereken dört kritik teknik vardır: –
- Zamanlanmış Görevin kötüye kullanılması, belirli komut satırlarının EDR/SIEM izlemesi yoluyla tespit edilebilir. Denetim ve hesap yönetimi yoluyla azaltın.
- DLL Yan Yükleme, olağandışı işlem eylemlerinin ve DLL/PE dosya olaylarının izlenmesiyle tanımlanabilir. Yazılım güncellemeleri ve geliştirici rehberliği yoluyla bu sorunları azaltın.
- Belirli komut satırı izleme yoluyla tespit edilebilen Windows Hizmeti manipülasyonu. Uç nokta davranışını önleme ve kullanıcı hesabı yönetimiyle bu durumu azaltın.
- Olağandışı yürütme modelleriyle tanımlanabilen Sistem İkili Proxy Yürütmesi (Rundll32/Regsvr32). Kötüye kullanım korumasını kullanarak azaltın.
Bu saldırı grafikleriyle yapılan sürekli testler, Çin hükümeti bağlantılı bu tehdit aktörüne karşı güvenlik kontrol duruşunun iyileştirilmesine yardımcı oluyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free