Güneydoğu Asya’daki hükümet ve telekomünikasyon sektörleri Dünya Kurma Haziran 2024’ten beri.
Trend Micro başına saldırılar, veri açığa çıkması için özel kötü amaçlı yazılım, rootkits ve bulut depolama hizmetlerinden yararlanmıştır. Filipinler, Vietnam, Tayland ve Malezya öne çıkan hedefler arasında.
Güvenlik araştırmacıları Nick Dai ve Sunny Lu, geçen hafta yayınlanan bir analizde, “Bu kampanya, hedeflenen casusluk, kimlik gerçeği hırsızlığı, çekirdek seviyesi rootkits yoluyla kurulan kalıcı pano ve güvenilir bulut platformları aracılığıyla veri açığa çıkması nedeniyle yüksek bir iş riski oluşturmaktadır.” Dedi.
Tehdit oyuncusu faaliyetleri Kasım 2020’ye kadar uzanıyor ve müdahaleler öncelikle Dropbox ve Microsoft OneDrive gibi hizmetlere dayanıyor ve Tesdat ve Simpoboxspy gibi araçları kullanarak hassas verileri sifon.
Arsenalindeki diğer iki kayda değer kötü amaçlı yazılım ailesi, daha önce Asya ve Afrika’daki yüksek profilli kuruluşlara yönelik saldırılarda gözlemlenen Krnrat ve Moriya gibi rootkits yer alıyor.
Trend Micro ayrıca Simpoboxspy ve saldırılarda kullanılan pesfiltrasyon komut dosyasının, Toddycat adlı başka bir uygun grupla örtüşme paylaştığını söyledi. Ancak, kesin bir ilişkilendirme sonuçsuz kalır.
Şu anda tehdit aktörlerinin hedef ortamlara nasıl ilk erişim elde ettikleri konusunda bilinmemektedir. İlk taban daha sonra NBTSCan, Ladon, FRPC, WMIHACKER ve ICMpinger gibi çeşitli araçlar kullanarak yanal hareketi taramak ve yürütmek için istismar edilir. Ayrıca konuşlandırılan, kimlik bilgilerini hasat etmek için kmlog olarak adlandırılan bir keylogger’dır.
Açık kaynaklı Ladon çerçevesinin kullanımının daha önce TA428 (aka Vicious Panda) adlı Çin bağlantılı bir hack grubuna atfedildiğini belirtmek gerekir.
Ana bilgisayarlarda kalıcılık, sonraki aşamalı yükleri belleğe yükleyebilen ve yürütebilen Dunloader, Tesdat ve DMloader olarak adlandırılan üç farklı yükleyici suşu ile gerçekleştirilir. Bunlar kobalt grev işaretçileri, Krnrat ve Moriya gibi rootkits ve veri açığa çıkma kötü amaçlı yazılımdan oluşur.
Bu saldırıları ayırt eden şey, bilgisayar korsanlarının meşru sistem araçlarını ve özelliklerini kullandıkları rootkitleri kurmak için, bu durumda Syssetup.dll’yi kolayca tespit edilebilir kötü amaçlı yazılım sunmak yerine yüklemek için karaya oturma (LOTL) tekniklerinin kullanılmasıdır.
Moriya, gelen TCP paketlerini kötü niyetli bir yük açısından incelemek ve shellcode’u yeni yumurtlanmış bir “svchost.exe” işlemine enjekte etmek için tasarlanırken, KRNRAT, süreç manipülasyonu, dosya saklama, shellcode infüzyonu, trafik konusundaki trafik (trafik ve komuta) iletişimi gibi yeteneklere sahip beş farklı açık kaynaklı projenin birleşmesidir.
Krnrat, Moriya gibi, bir kullanıcı modu aracısı rootkit yüklemek ve “svchost.exe” e enjekte etmek için tasarlanmıştır. Kullanıcı modu aracısı, C2 sunucusundan takip eden bir yük almak için bir arka kapı görevi görür.
Araştırmacılar, “Dosyaları tüketmeden önce, yükleyici Tesdat tarafından yürütülen birkaç komut, aşağıdaki uzantılarla belirli belge dosyalarını topladı: .pdf, .doc, .docx, .xls, .xlsx, .ppt ve .pptx,” dedi araştırmacılar. “Belgeler ilk olarak” TMP “adlı yeni oluşturulan bir klasöre yerleştirilir, bu da daha sonra belirli bir şifreli Winrar kullanılarak arşivlenir.”
Veri uygulaması için kullanılan ısmarlama araçlardan biri, belirli bir erişim belirteciyle Dropbox’a RAR arşivini yükleyebilen Simpoboxspy’dir. Ekim 2023’teki bir Kasperksy raporuna göre, genel Dropbox yükleyici “muhtemelen sadece Toddycat tarafından kullanılmıyor”.
Aynı amaç için kullanılan başka bir program olan Odriz, OneDrive Yenileme tokenini bir giriş parametresi olarak belirterek toplanan bilgileri OneDrive’a yükler.
Trend Micro, “Dünya Kurma oldukça aktif kalıyor, Güneydoğu Asya çevresindeki ülkeleri hedeflemeye devam ediyor.” Dedi. Diyerek şöyle devam etti: “Kurban ortamlarına uyum sağlama ve gizli bir varlığı sürdürme yeteneğine sahipler.”
Diyerek şöyle devam etti: “Ayrıca, araç setlerini özelleştirmek için daha önce tanımlanmış kampanyalardan aynı kod tabanını yeniden kullanabilirler, hatta bazen hedeflerine ulaşmak için kurbanın altyapısını kullanabilirler.”