.jpg)
Dünyanın en başarılı bilgisayar korsanlarının kendi tehlikeli kodlarını yazdıklarını ve hedeflerini aşmak için kullandıkları teknolojilere büyük yatırım yaptıklarını hayal ediyoruz. Ancak son aylarda, tam tersi bir yaklaşımla yeni bir saldırı kümesi başarılı oldu.
SentinelOne’dan 24 Ocak’ta yayınlanan bir rapora göre, bir tehdit aktörü, önceden var olan açık kaynak bileşenlerinden Frankenstein’ın canavar tarzı bir bileşimini oluşturarak Çin ve Tayvan’daki bir dizi kuruluşu ele geçirdi. Bunların arasında: Windows makinelerinde kullanıcı ayrıcalıklarını artırmak ve kalıcılık oluşturmak ve uzaktan kod yürütülmesine izin vermek için birden çok araç.
Saldırganlar, diğer bilgisayar korsanlarının kodlarını benimsemenin yanı sıra, diğer kuruluşların altyapısını da özgürce benimsedi. Bilgisayar korsanları, kötü amaçlı yazılımlarını hazırlarken Çin, Hong Kong, Singapur ve Tayvan’da bulunan ve birçoğu bir sanat galerisi, bir bebek ürünleri perakendecisi ve oyun ve kumar endüstrisindeki şirketler dahil olmak üzere tamamen sıradan işletmeler tarafından barındırılan sunucuları kukla olarak kullandılar. .
SentinelOne’dan araştırmacılar kampanyayı, saldırganların Çince bağlantılarına atıfta bulunan bir portmanteau olan “DragonSpark” ve şimdiye kadar vahşi doğada hiç görülmemiş bir açık kaynaklı uzaktan erişim Truva Atı (RAT) olan “SparkRAT” olarak adlandırdı.
Bir Açık Kaynak Tarafı
DragonSpark saldırganları, hedeflerine ilk erişimi elde etmek için İnternet’e açık Web sunucularını ve MySQL veritabanı sunucularını aradı. Ardından, bir ayağı kapıda, açık kaynaklı kötü amaçlı yazılımları dağıtmaya başladılar.
SentinelOne’da kıdemli tehdit araştırmacısı olan Aleksandar Milenkoski, Dark Reading’e “Açık kaynak araçları ve mevcut altyapı, tehdit aktörleri için çok pratik,” dedi. Bu özellikle “kendi araç setlerini geliştirmek ve karmaşık bir altyapı kurmak için çok fazla kaynağa ve derinlemesine teknik hazırlığa sahip olmayan, ancak aynı zamanda büyük ölçekli, fırsatçı saldırıları hedefleyen siber suç faaliyetlerine karışan aktörler” için geçerlidir.
DragonSpark saldırganları, fırsatçı saldırılarını SharpToken ve BadPotato gibi komutların Windows işletim sistemi seviyesinde yürütülmesini sağlayan programlarla gerçekleştirmiştir. SharpToken ayrıca kullanıcı ve işlem bilgilerine görünürlük sağlar; bir kullanıcının sistem kullanıcılarının şifrelerini serbestçe eklemesine, silmesine veya değiştirmesine olanak tanır. Araştırmacılar, BadPotato’nun daha önce diğer Çinli tehdit aktörleri tarafından bir casusluk kampanyasında kullanıldığını belirtti.
Cephanelikte bir sonraki adım, kalıcılığı, dosya aktarımını ve uzaktan ekran görüntülemeyi kolaylaştıran GotoHTTP idi. Ancak en dikkate değer kötü amaçlı yazılım, Milenkoski’ye göre “tehdit alanında çok yeni bir gelişme” olan SparkRAT idi. DragonSpark, “daha büyük kampanyaların bir parçası olarak SparkRAT kullanan tehdit aktörlerinin ilk somut gözlemini” temsil ediyor.
1 Kasım 2022 tarihinde güncel sürümünde piyasaya sürülen SparkRAT, her türlü işin krikosudur. Yalnızca Windows ile değil, Linux ve macOS sistemleriyle de uyumludur. Araştırmacıların ana hatlarıyla belirttiği gibi, en dikkate değer özellikleri şunlardır:
- “Komut yürütme: isteğe bağlı Windows sistemi ve PowerShell komutlarının yürütülmesi dahil;
- Sistem manipülasyonu: sistem kapatma, yeniden başlatma, hazırda bekletme ve askıya alma dahil;
- Dosya ve süreç manipülasyonu: süreç sonlandırmanın yanı sıra dosya yükleme, indirme ve silme dahil; ve
- Bilgi hırsızlığı: platform bilgilerinin (CPU, ağ, bellek, disk ve sistem çalışma süresi bilgileri), ekran görüntüsü hırsızlığı ve işlem ve dosya numaralandırma dahil olmak üzere.”
SparkRAT, SharpToken, Bad Potato ve GotoHTTP’nin tümü çevrimiçi olarak ücretsiz olarak indirilebilir. Açık kaynak araçları olarak kullanımları, ilişkilendirmeyi de zorlaştırır.
Çin’e bağlantılar
DragonSpark’ın tüm hedefleri Doğu Asya merkezli kuruluşlardı. Milenkoski, birçoğunun “geniş bir müşteri tabanına sahip olduğunu” gözlemliyor ve “bu durum, tehdit aktörlerinin müşteri verilerini hedef alıyor olabileceği inancına yol açıyor.” Sebebin siber suç mu yoksa casusluk mu olduğu belirlenemedi.
Belirli bir kişiyi ilişkilendiremeseler de, araştırmacılar DragonSpark saldırganlarının Çince konuşanlar olmasının “büyük olasılıkla” olduğunu düşündüler. Bu kısmen, altyapılarının ve hedeflerinin çoğunun Doğu Asya’da yer almasıyla açıklanıyor. Ek olarak, kötü amaçlı yazılımlarını dağıtmak için kullandıkları Web kabuğu – China Chopper adlı iyi bilinen bir araç – ve yukarıda açıklanan tüm açık kaynak araçları, orijinal olarak Çince konuşan geliştiriciler ve satıcılar tarafından geliştirildi.
Bu, Çinli tehdit aktörlerinin dünyasındaki son faaliyetlerle tutarlıdır. Geçen yaz Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan bir uyarı, Halk Cumhuriyeti’ndeki devlet destekli APT’lerin “özelleştirilmiş araç setlerini genellikle halka açık araçlarla nasıl karıştırdığını” vurguladı.
Tüm işaretler, bu tür saldırıların daha fazla ilerlediğini gösteriyor. SentinelOne araştırmacıları, özellikle SparkRAT’ın henüz yeni ortaya çıkmış olsa da “yeni özelliklerle düzenli olarak güncellendiğini” belirterek, “RAT’ın gelecekte siber suçlular ve diğer tehdit aktörleri için çekici olmaya devam edeceğini” ekledi.