APT10 ile bağlantılı bir tehdit aktörü olan Earth Kasha, hedef odaklı kimlik avından yararlanarak ve SSL-VPN ve dosya depolama hizmetleri gibi halka açık uygulamalardaki güvenlik açıklarından yararlanarak hedefleme kapsamını Hindistan, Tayvan ve Japonya’yı kapsayacak şekilde genişletti.
Grup, hedeflenen bölgelerdeki, özellikle de ileri teknoloji ve kamu sektörlerindeki kuruluşlar için önemli bir tehdit oluşturan tehlikeye atılmış ağlara kalıcı erişimi sürdürmek için Cobalt Strike, LODEINFO ve yeni keşfedilen NOOPDOOR dahil olmak üzere çeşitli arka kapılar kullandı.
Başlangıçta sistem bilgilerini ve etki alanı kimlik bilgilerini toplamak için meşru Microsoft araçlarını kullanarak sistemlerin güvenliğini ihlal etti, ardından çeşitli uygulamalardan depolanan kimlik bilgilerini çalmak için özel kötü amaçlı yazılım olan MirrorStealer’ı kullandı ve hassas sistem dosyalarını Active Directory sunucularından boşaltmak için VSSAdmin’i kötüye kullandı.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Etki alanı yöneticisi ayrıcalıklarını kazandıktan sonra, hem arka kapı kanalları hem de RDP oturumları üzerinden doğrudan dosya aktarımları yoluyla elde edilen yanal hareketi ve veri sızmasını kolaylaştırmak için arka kapıları konuşlandırdılar.
Son kampanyalarında çok yönlü bir yaklaşım kullanarak Cobalt Strike, LODEINFO ve yeni NOOPDOOR arka kapısının birleşiminden yararlanıyor.
Muhtemelen kırık bir versiyon olan Cobalt Strike, Go tabanlı bir kabuk kodu yükleyicisi olan GOSICLOADER aracılığıyla konuşlandırıldı.
Earth Kasha için uzun süredir devam eden bir araç olan LODEINFO, yeni arka kapı komutları ve DLL tarafından yükleme ve dijital imzanın kötüye kullanılmasını içeren iyileştirilmiş bir yürütme mekanizması dahil olmak üzere önemli güncellemelerden geçti.
LiberalFace kampanyasında kullanılan yükleyiciye benzeyen LODEINFOLDR Type 2’nin ortaya çıkması, iki olay arasında potansiyel bir bağlantı olduğunu gösteriyor.
NOOPLDR, iki farklı yükleyici aracılığıyla sunulan bir arka kapıdır: MSBuild tarafından yürütülen bir XML/C# yükleyici ve DLL Yan Yüklemeden yararlanan bir DLL yükleyici. Her iki yükleyici de cihaz kimliği tabanlı şifrelemeyi kullanarak benzer şifre çözme ve kalıcılık teknikleri kullanır.
XML/C# yükleyici şifrelenmiş veriyi kalıcılık için kayıt defterinde saklarken, DLL yükleyicisi dosya tabanlı ve kayıt defteri tabanlı kalıcılığın bir kombinasyonunu kullanır.
Her iki yükleyici de şifresi çözülmüş veriyi meşru süreçlere enjekte ederken, DLL yükleyicisi kontrol akışı gizleme ve önemsiz kod ile ekstra bir gizleme katmanı ekler.
Gelişmiş bir arka kapı olan NOOPDOOR, aktif ve pasif modlarda çalışır; aktif modda, bir DGA kullanarak günlük olarak değişen bir C&C sunucusunu yoklar, pasif modda ise gelen komutlar için 47000 numaralı bağlantı noktasını dinler.
Çeşitli yerleşik işlevleri destekler ve kalıcılık ve gizlilik için HTTP proxy’lerinden, güvenlik duvarı manipülasyonundan ve dosya tabanlı modül depolamasından yararlanarak çeşitli kötü amaçlı etkinliklere olanak tanıyan ek modüller yükleyebilir.
Devlet destekli bir aktör olan Earth Kasha, hedef odaklı kimlik avından yararlanıyor ve tarayıcılardan, e-posta istemcilerinden ve sunuculardan kimlik bilgilerini çalmak için MirrorStealer gibi kötü amaçlı yazılımlar kullanarak hedefleri tehlikeye atmak için halka açık uygulamalardan yararlanıyor.
İstismar sonrasında kalıcılık sağlamak için zamanlanmış görevleri kötüye kullanırlar ve yanal hareket için LOLBin’leri kullanırlar. TTP’lerin APT10’a bağlı diğer gruplarla örtüşmesi, ekosistem içinde kaynak paylaşımına veya olası 0 günlük güvenlik açığı paylaşımına işaret ediyor.
Çin bağlantılı bir tehdit aktörüdür ve yakın zamanda önceki LODEINFO ve A41APT operasyonlarıyla önemli benzerlikler taşıyan, güncellenmiş LODEINFO kötü amaçlı yazılımlarından yararlanan yeni bir kampanya başlattı.
TrendMicro’nun analizi, Çin’deki bağlantı noktası gruplarının potansiyel olarak işbirliği yaptığını, 0 günlük güvenlik açıklarını paylaştığını ve tespitten kaçınmak için karmaşık taktikler kullandığını gösteriyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılımları ve Kimlik Avını Analiz Edin -> Ücretsiz Deneyin