Kötü şöhretli bir tehdit grubu olan Earth Preta’nın, HIUPAN solucanının bir çeşidini kullanarak, çıkarılabilir sürücüler aracılığıyla kötü amaçlı yazılım dağıtmak için saldırılarını yükselttiği gözlemlendi. Bu kampanya, hızlı dağıtım ve veri sızdırma elde etmek için bir dizi araç ve teknik kullanarak Asya-Pasifik bölgesindeki belirli ülkeleri ve sektörleri hedef alıyor.
Earth Preta Solucanı tabanlı Saldırı İlerlemesi
Trend Micro araştırmacıları, HIUPAN solucanının büyük ihtimalle Earth Preta’nın saldırı zincirinin temel bir bileşeni olarak hizmet ettiğini ve grubun çıkarılabilir sürücüler aracılığıyla PUBLOAD’u hedeflerin ağlarına yaymasına olanak tanıdığını belirtiyor. HIUPAN’ın yapılandırma dosyası, yayılımı ve bekçi işlevi için temel bilgileri içerir ve bu da kurulumunu ve yürütülmesini kolaylaştırır. Başlatıldıktan sonra, HIUPAN kurbanın sistemine kendisinin bir kopyasını yükler ve ardından varlığını gizlemek için kayıt defteri değerlerini değiştirirken kalıcılığı korumak için bir otomatik çalıştırma kayıt defteri girişi oluşturur.
Ana kontrol aracı olan PUBLOAD, sistem bilgilerini toplar, ağı haritalandırır ve FDMTP ve PTSOCKET gibi ek araçların teslimini kolaylaştırır. Yeni keşfedilen bir bilgisayar korsanlığı aracı olan FDMTP, kötü amaçlı yazılımları indirmek ve çalıştırmak için kullanılırken, PTSOCKET, toplanan verileri uzak bir sunucuya yüklemek için bir sızdırma aracı olarak hizmet eder.
Daha önce PUBLOAD göndermek için hedefli kimlik avı e-postaları kullanılırken, HIUPAN kötü amaçlı yazılımının çıkarılabilir sürücüler aracılığıyla dağıtılması, Earth Preta’nın daha geniş bir kurban yelpazesini hedeflemesine ve belirli güvenlik önlemlerini atlatmasına olanak tanıyor.
Muhtemelen hedef alınan ülkeler arasında Myanmar, Filipinler, Vietnam, Singapur, Kamboçya ve Tayvan yer alıyor ve hepsi APAC bölgesinde yer alıyor. Ayrıca, sahte belgeler ağırlıklı olarak hükümetle ilgili konulara, özellikle de dış ilişkilere odaklanıyor.
Bu saldırılarda kullanılan HIUPAN solucanı varyantı, yayılma ve bekçi işlevi için bilgi içeren harici bir yapılandırma dosyasıyla yapılandırılması daha kolaydır. HIUPAN’ın gözlemci işlevi, çıkarılabilir ve sıcak takılabilir sürücülerin varlığını periyodik olarak kontrol eder ve bulunursa, çıkarılabilir sürücüye yayılarak kötü amaçlı yazılımın yayılmaya devam etmesini sağlar.
PUBLOAD, hedeflenen dosyalardan veri toplamak, arşivlenen dosyaları şifrelemek ve cURL kullanarak saldırganın sahip olduğu bir FTP sitesine yüklemek için WinRAR kullanır. Alternatif olarak, PTSOCKET, sızdırma amaçları için ve dosyaları saldırganlara çoklu iş parçacığı modunda aktarmak için kullanılabilir. Earth Preta’nın toplama ve sızdırma faaliyetleri hızlı ve gizli olacak şekilde tasarlanmıştır ve bu da güvenlik ekiplerinin bu gelişen taktiklerden haberdar olmasını zorunlu hale getirir.
Dünya Preta Uyumları
Earth Preta, özellikle askeriye, polis, dışişleri ajansları, sosyal yardım, yürütme organı ve APAC bölgesindeki eğitim kurumları gibi hükümet birimlerini hedef alan kampanyalarda, kötü amaçlı yazılım dağıtımı ve saldırı stratejilerinde önemli ilerlemeler kaydetti.
FDMTP ve PTSOCKET gibi araçların kullanımı, Earth Preta’nın kontrol ve sızdırma yeteneklerini ciddi şekilde artırırken, Haziran ayındaki daha önceki bir kampanya, çok aşamalı indiricilerin (DOWNBAIT’ten PLUGX’e kadar) kullanımını ve veri sızdırmak için Microsoft’un bulut hizmetlerinin istismarını gösteriyordu.
16’da barındırılan WebDAV sunucusunda sahte belgelerin ve kötü amaçlı yazılım örneklerinin hızlı bir şekilde teslim edilmesi[.]162[.]188[.]93, Earth Preta’nın APAC bölgesindeki belirli ülkelere ve endüstrilere odaklanarak son derece hedefli ve zamana duyarlı operasyonlar yürüttüğünü öne sürüyor; araştırmacılar, grubun bu bölgelerde aktif olmaya devam edeceğine inanıyor.