Araştırmacılar, APT10 grubuyla ilişkilendirilen yeni bir tehdit aktörü olan Cuckoo Spear’ı ortaya çıkardı ve kurban ağlarında iki ila üç yıl boyunca sürekli gizli operasyonlar sergiledi.
Gelişmiş kalıcı tehdit (APT), siber casusluk yapmak için yeni teknikler ve araçlar kullanır ve APT10 gibi karmaşık ulus devlet düşmanlarına karşı koymak için kuruluşlar ve hükümetler arasında sağlam güvenlik protokollerine, sürekli tehdit izleme ve işbirlikçi istihbarat paylaşımına olan kritik ihtiyacı vurgular.
Çin devlet destekli APT10 grubuna atfedilen LODEINFO kötü amaçlı yazılımı, Aralık 2019’dan bu yana kritik altyapı ve akademik sektörleri aktif olarak hedef alıyor.
Son araştırmalar LODEINFO’yu toplu olarak “Cuckoo Spear” olarak adlandırılan yeni NOOPDOOR kötü amaçlı yazılımıyla ilişkilendirdi.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Hem kalıcı ağ sızması hem de veri sızdırma için her iki kötü amaçlı yazılım türünü de kullanıyor ve bu da birincil amaç olarak casusluğun güçlü bir şekilde öne çıktığını gösteriyor.
Taktikler, kurbanlar ve kötü amaçlı yazılım cephaneliğindeki örtüşmeler, “Earth Kasha” ve “MirrorFace” dahil olmak üzere önceki APT10 operasyonları ile bu gelişmiş tehdit aktörüne atıfları sağlamlaştırıyor.
Tehdit aktörlerinin çok aşamalı saldırılarda kullandığı NOOPLDR şifre çözücüsü tarafından, DGA tabanlı C2 iletişimini kullanan gelişmiş 64 bit modüler bir arka kapı olan NOOPDOOR’un yüklendiği tespit edildi.
Birincil arka kapı olan LODEINFO, tehlikeye atılmış ağlarda iki yıldan uzun süre boyunca kalıcı erişimi sürdürmek için ikincil arka kapı olarak NOOPDOOR’u kurar.
NOOPDOOR uzun vadeli gizli operasyonlar sağlarken, LODEINFO muhtemelen ilk enfeksiyon vektörü ve komuta-kontrol kanalı olarak hizmet ediyor.
Jin Ito, Loic Castel ve Kotaro Ogino’dan oluşan Cybereason araştırma ekibi, en son NOOPDOOR ve NOOPLDR kötü amaçlı yazılım varyantlarını kapsamlı bir şekilde araştırdı ve Tehdit Analizi Raporu’nda bunların gelişmiş işlevlerini ve taktiklerini ayrıntılı olarak açıkladı.
Analizleri, DGA tabanlı C2 iletişimi, şifre çözme mekanizmaları ve modüler mimari gibi kötü amaçlı yazılımın gelişmiş yeteneklerini araştırarak, tehdit aktörünün gizli sızma, veri sızdırma ve kalıcı ağ tutunma tekniklerini ve gelişen cephaneliğini aydınlatıyor.
Son olaylara müdahale çalışmaları, gizli saldırı, veri sızdırma ve sürekli kontrol için tasarlanmış gelişmiş bir tehdit aktörü araç setini ortaya çıkardı.
Gelişmiş tersine mühendislik, ilk erişim için öncelikli olarak LODEINFO olmak üzere hedefli kimlik avına güvenildiğini ortaya koydu ve bu da tehdit aktörlerinin gelişen taktiklerine karşı güçlü savunmalara olan ihtiyacı vurguladı.
Tehdit aktörleri, kalıcılığı sağlamak için NOOPDOOR’u Zamanlanmış Görevler ve WMI Tüketici Olayları aracılığıyla dağıtıyor.
İlk yöntemde, MSBuild kötüye kullanılarak kötü amaçlı bir XML dosyası NOOPDOOR yükleyicisine derlenir.
İkinci yöntem WMI olay tüketicilerini kullanır, ActiveScript yürütmesini tetikler ve sonrasında NOOPDOOR derlemesi için MSBuild’den yararlanır.
Her iki teknik de saldırganların sistem araçlarını kötü amaçlı kullanma konusundaki uyum yeteneklerini göstermektedir.
Tehdit aktörleri, kötü amaçlı Windows servisleri yükleyerek ve belleğe imzasız dinamik bağlantı kitaplıkları (DLL’ler) yükleyerek, tehlikeye atılmış sistemlere kalıcı erişim sağlar.
Saldırganların yüksek ayrıcalıklarla kötü amaçlı kod yürütmesine, gizli operasyonlar sürdürmesine ve imza tabanlı tespit yöntemlerine dayanan güvenlik çözümlerinin tespitinden kaçmasına olanak tanır.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access