Cluster Bravo, başlangıçtaki kısa faaliyetine rağmen daha sonra aynı bölgedeki 11 kuruluşu hedef aldı; araştırmacılar, bu saldırganların kötü amaçlı yazılım yerleştirmek için aynı dikeydeki tehlikeye atılmış ortamları kullandığını tespit etti.
Charlie Kümesi, kesintiye uğradıktan sonra, HUI yükleyicisini kullanarak mstsc.exe’ye Cobalt Strike işaretleri enjekte etmek de dahil olmak üzere yeni tekniklerle geri döndü.
Hedef ağdaki varlıklarını yeniden kurmak ve genişletmek için öncelikli odaklarını değiştirerek varlıklarını yeniden kurmak ve EDR yazılımlarını atlatmak için açık kaynaklı araçlar kullandılar ve diğer tehdit kümelerinden teknikler kullandılar.
Sophos’un çalınan kimlik bilgilerini kullanarak keşif ve DLL yan yüklemesi için web kabukları dağıtarak C2 araçlarını engellemesinin ardından tehdit aktörleri taktik değiştirdi.
Active Directory ve ağ düzeni hakkında daha fazla bilgi toplamak için Havoc ve SharpHound gibi açık kaynaklı araçlar kullanıldı.
Saldırganlar ayrıca uzaktan yürütme ve yatay hareket için yönetilmeyen cihazlarda Impacket atexec kullanmak gibi diğer tehdit kümelerinden taktikler de benimsedi ve bu faaliyetlerin arkasında potansiyel bir genel organizasyonun olduğunu ortaya koydu.
APT aktörü, çalınan kimlik bilgilerini ve bir web kabuğunu kullanarak kötü amaçlı bir DLL’yi meşru bir Windows işlemine enjekte etti ve ardından SharpHound kullanarak Windows Defender dışlama yollarını, Sophos güvenlik politikalarını ve Active Directory altyapısını sorgulayarak keşif görevleri gerçekleştirdi.
Aktör ayrıca, başka bir kötü amaçlı DLL’yi yürütmek üzere zamanlanmış bir görev oluşturarak, bir hipervizörde yatay olarak hareket etmek ve kalıcılık sağlamak için tehlikeye atılan kimlik bilgilerini kullandı.
Aralık 2023’te Cluster Charlie saldırganları yönetici kimlik bilgilerini ve kullanıcı verilerini ele geçirdi ve keşif gerçekleştirdi. 2024’te, tespit edilmekten kaçınma olasılığı yüksek olan C2 kanalları ve dağıtım yöntemleri arasında hızla geçiş yaptılar.
Taktikleri arasında RealBlindingEDR (asoc.exe, ssoc.exe) gibi meşru araçların değiştirilmiş sürümlerini kullanarak bir hile önleme aracında (Echo.ac) bulunan bir güvenlik açığı (CVE-2023-38817) aracılığıyla uç nokta korumasını devre dışı bırakmak ve çekirdek rutinlerine müdahale etmek yer alıyordu.
Şubat ve Mart 2024’te bir tehdit aktörünün, kötü amaçlı yükler enjekte etmek için Donut kabuk kodu yükleyicilerini kullanırken, C2 implantlarını (Havoc, Cobalt Strike) ve çerçevelerini (Havoc, XieBroC2) değiştirerek tespit edilmekten kaçınmak için taktiklerini ve araçlarını hızla değiştirdiği gözlemlendi.
Ayrıca, daha fazla karartma ve kalıcılık için kötü amaçlı DLL’leri (libcef.dll, jli.dll) yan yüklemek amacıyla meşru yürütülebilir dosyaları (jcef_helper.exe, jconsole.exe) kötüye kullandılar.
DLL’ler bazen yükleri enjekte etmeden ve Kıbrıs, ABD, Japonya ve Singapur’daki C2 sunucularına bağlanmadan önce hata ayıklayıcıları ve güvenlik araçlarını kontrol ediyordu.
Nisan ayında saldırganlar, kötü amaçlı DLL’leri (Havoc implantları) ve özel bir tuş kaydediciyi (TattleTale, LSA bilgilerini ve tarayıcı verilerini çalar) yan yüklemek için meşru uygulamaları (identity_helper.exe) kötüye kullandılar ve ayrıca EDR’yi devre dışı bırakmak ve Chrome verilerine erişmek için başka bir tuş kaydedici (r1.exe) dağıttılar; Haziran ayında ise uç nokta korumasını devre dışı bıraktıktan sonra bir Cloudflared tüneli kurmak için Impacket’i kullandılar.
Devam eden siber casusluk kampanyasının arkasındaki tehdit aktörleri, güvenlik önlemlerini aşmak için özel ve açık kaynaklı araçların bir karışımını kullanarak taktiklerini ve araçlarını sürekli geliştirerek aynı bölgedeki Sophos müşterilerini hedef almaya devam ediyor.