Siber güvenlik manzarası, 2023’ün ikinci çeyreğinden bu yana aktif olarak casusluk operasyonları yürüten Çin bağlantılı ileri süren bir tehdit (APT) grubu olan Earth Alux tarafından bozuldu.
Başlangıçta Asya-Pasifik bölgesini hedefleyen grup, Tayland, Filipinler, Malezya, Tayvan ve Brezilya gibi ülkelerdeki ülkelerdeki hükümet, teknoloji, lojistik, üretim, telekomünikasyon, BT hizmetleri ve perakende sektörlerine odaklanarak 2014 yılının ortalarında Operasyonlarını Latin Amerika’ya genişletti.
Earth Alux, öncelikle açık sunuculardaki savunmasız hizmetleri kullanarak, daha sonra kötü amaçlı yazılımlarının sunulmasını kolaylaştırmak için Godzilla gibi web mermilerini implante ederek başlangıç erişimini kazanır.
.webp)
Grup öncelikle Vargeit’i COBEACON ile birlikte birincil arka kapısı olarak kullanır ve Vargeit, kalıcılığı korumak ve kötü amaçlı işlemleri yürütmek için saldırılarının birden fazla aşamasında kullanılır.
Trend mikro araştırmacıları, saldırganların hedef ortamlarda gizli ve uzun ömürlülüğü sağlamak için sofistike teknikler kullandıklarını ve konuşlandırmadan önce araç setlerini düzenli olarak test ettiklerini belirlediler.
Bir ağda kurulduktan sonra Earth Alux, potansiyel olarak kritik endüstrilerdeki operasyonlara ve önemli finansal kayıplara yol açan uzun vadeli veri toplama ve dışarı çıkmaya odaklanır.
VargeIT, sürücü bilgileri toplama, işlem izleme, dosya manipülasyonu, komut satırı yürütme ve dosya sisteminde iz bırakmadan ek araçlar enjekte etme yeteneği gibi dikkate değer özelliklere sahip çok kanallı yapılandırılabilir bir arka kapı olarak çalışır.
.webp)
Bu kötü amaçlı yazılımları özellikle ilgili kılan şey, birden fazla iletişim kanalından yararlanma yeteneğidir; Outlook kanalı (Graph API kullanan) ağırlıklı olarak gözlemlenen saldırılarda kullanılmaktadır.
MSPAint enjeksiyon tekniği
Vargeit’in operasyonunun en belirgin yönü benzersiz mspaint enjeksiyon tekniğidir.
Dosyaları hedef sisteme bırakmak yerine, kötü amaçlı yazılım, doğrudan komut ve kontrol sunucularından alınan kabuk kodunu enjekte ettiği mspaint.exe örneklerini açar.
Bu teknik, Earth Alux’un diskte saptanabilir artefaktlar bırakmadan ek araçlar yürütmesine izin verir.
.webp)
Enjeksiyon işlemi, keşif faaliyetleri sırasında gözlemlenen bu örnekte gösterildiği gibi, RTLCreateUSerThead, VirtualLocex ve WriteProcessMemory API’lerini kullanır:-
C:\Windows\System32\mspaint.exe sElf98RqkF ldap Bu mSSPaint süreçleri, güvenlik olay günlüğü muayenesi, grup politikası keşfi, ağ/LDAP keşifleri ve veri açığa çıkması dahil olmak üzere çeşitli kötü niyetli etkinlikler gerçekleştirir.
Eksfiltrasyon işlemleri sırasında, kötü amaçlı yazılım saldırgan kontrollü bulut depolama kovalarına bağlanır ve toplanan hassas bilgilerin sıkıştırılmış arşivlerini gönderir.
Earth Alux taktiklerinin artan karmaşıklığı, bugün kuruluşların, özellikle de Asya-Pasifik ve Latin Amerika bölgelerindeki stratejik sektörlerde bulunan siber casusluk tehditlerinin gelişen doğasını vurgulamaktadır.
Are You from SOC/DFIR Team? - Try Free Malware Research with ANY.RUN - Start Now