Çinli bilgisayar korsanları, kötü niyetli faaliyetlerini yerel Microsoft teknolojilerinin arkasına gizleyerek neredeyse kritik Avrupa tedarik zinciri şirketlerini ihlal ediyordu.
SentinelLabs’tan araştırmacılara göre bu olay haziran ayının sonundan temmuz ayına kadar üç haftalık bir dönemde gerçekleşti. Bağlı bir tehdit aktörü Çin’in çeşitli ve gelişen siber saldırı sahnesi Alt tedarik zinciri casusluğu olduğu varsayılan hedefle, siber güvenlik satıcıları ve veri ve altyapı çözümleri sağlayıcıları gibi güney Avrupa genelindeki büyük işletmeler arası (B2B) BT hizmet sağlayıcılarını hedef aldı.
Saldırganlar, bu BT satıcılarına ve muhtemelen kıtadaki ayrıcalıklı erişime sahip oldukları birçok müşteriye sızmak için, kötü niyetli faaliyetlerini Visual Studio Code ve Microsoft Azure gibi günlük iş araçlarının arkasına gizledi. Ve ilişkilendirmeyi karıştırmak için, bilinen diğer bazı Çinli tehdit aktörlerinde gözlemlenen aynı taktikleri, teknikleri, prosedürleri (TTP’ler) ve araçları kullandılar.
Microsoft aracılığıyla kötü amaçlı yazılım
Araştırmacıların “Dijital Göz Operasyonu” adını verdiği kampanyadaki enfeksiyonlar, savunmasız, İnternet’e bakan Web ve veritabanı sunucularına yönelik SQL enjeksiyonlarıyla başladı. Daha sonra saldırganlar, şüphe uyandırmamak için hedefin ortamına özel olarak uyarlanmış dosya adlarını kullanarak PHP Web kabuklarını düşürdüler. Bunu keşif, yanal hareket ve kimlik bilgileri hırsızlığı izledi.
Ancak saldırıların en önemli kısmı zararsız bir şekilde “code.exe” olarak paketlenmişti. Microsoft tarafından dijital olarak imzalanan ve Windows Hizmet Paketleyici kullanılarak bir hizmet olarak çalıştırılan saldırganlar, kurbanlarının her birine Visual Studio Code’un (VS Code) kendi taşınabilir kopyasını getirdi. VS Code, Microsoft tarafından geliştirilen, hem yeni hem de deneyimli geliştiriciler arasında açık ara en popüler entegre geliştirme ortamı (IDE) olan ücretsiz, açık kaynaklı bir düzenleyicidir.
VS Kodu aynı zamanda bir Çinli tehdit aktörlerinin kanıtlanmış silahı Uzak Tüneller özelliği sayesinde son zamanlarda. Uzak Tüneller, geliştiricilerin uzaktaki makinelerdeki kodlara erişmesine ve üzerinde çalışmasına olanak sağlamak için tasarlanmıştır. Farklı bir açıdan bakıldığında bu, görünüşte zararsız bir Microsoft programı bağlamında uzak sistemlerde komut yürütme ve dosya düzenleme olanağı sağlayan mükemmel bir kötü amaçlı yüktür. Dijital Göz Operasyonu’nun arkasındaki saldırganlar, mağdurlara kalıcı arka kapı erişimi sağlamak için VS Code’u kullanmayı, zararsız dosya ve hizmet adlarını kullanmayı ve kurbanların normal iş operasyonlarına daha fazla uyum sağlamak için bunları Temp klasöründe saklamayı amaçladı.
Ancak VS Code ile tünel açmak, kurbanın makinesine kötü amaçlı yazılım yüklemek kadar basit değil; bir GitHub hesabı ve bir Azure sunucusuyla bağlantı gerektiriyor. Araştırmacılar, saldırganların çalıntı GitHub ve Azure kimlik bilgilerini mi kullandığından yoksa kendi hesaplarını mı kaydettirdiğinden emin değil.
Açık olan şey, Batı Avrupa’daki genel bulut altyapısından yararlanarak, normalde şüpheli olan trafiğin daha meşru görünmesini ve güvenlik araçlarının dikkatinden kaçma ihtimalini artırmak için bu potansiyel engeli bir avantaja dönüştürdükleri. Araştırmacılar, VS Code ve Azure ağ trafiğinin yakın incelemeden kaçınma eğiliminde olduğunu ve bunlara genellikle uygulama kontrolleri ve güvenlik duvarı kuralları tarafından izin verildiğini belirtti. “Sağladığı tam uç nokta erişimiyle birleştiğinde, bu, Visual Studio Code tünellemeyi tehdit aktörlerinin yararlanabileceği çekici ve güçlü bir yetenek haline getiriyor” diye yazdılar.
Çinli Saldırganlara Nitelik Verme Sorunu
Dijital Göz Operasyonu’nda kullanılan gerçek kötü amaçlı yazılım, saldırıların arkasında tam olarak kimin olduğunu açıklığa kavuşturmaktan ziyade kafa karıştırıcı hale getirdi.
Karışımdaki en dikkate değer araç olan “bK2o.exe”, açık kaynaklı kimlik bilgisi çalma aracı Mimikatz’ın karma geçiş saldırıları için tasarlanmış değiştirilmiş bir versiyonudur. Amacı, hedeflenen kullanıcının gerçek şifresi yerine Yeni Teknoloji LAN Yöneticisi (NTLM) karmasını yakalayarak, kullanıcının güvenlik bağlamında süreçlerin daha fazla yürütülmesini sağlamaktır.
BK2o.exe, çeşitli Çin gelişmiş kalıcı tehditleri (APT’ler) tarafından dağıtılan birçok Mimikatz varyantından yalnızca biridir. Yumuşak Hücre ve Tainted Love Operasyonlarında benzer gruplarla ilişkili varyantlar gözlemlendi. APT41 Ve APT10. SentinelLabs’tan araştırmacılar, birçok gruba aynı anda tedarik sağlayan ortak bir satıcının bulunmasının muhtemel olduğu sonucuna vardı. iSoon’un son vakası. SentinelLabs, “Çin APT ekosistemindeki bu işlev, muhtemelen Çin-nexus siber casusluk operasyonlarının kolaylaştırılmasında önemli bir rol oynuyor” dedi.