Gelişmiş kalıcı tehdit grubu APT41, medya ve eğlence, BT, ulaşım ve lojistik ve otomotiv sektörlerindeki çok sayıda şirketi başarıyla tehlikeye atan genişletilmiş bir saldırı başlattı.
Kampanyanın hedef kitlesi arasında Tayvan, Tayland, Türkiye, İtalya, İspanya ve Birleşik Krallık gibi çok sayıda ülke yer alıyor.
APT41, 2023’ten bu yana birçok kurbanın ağına uzun süreli, yetkisiz erişim elde etmeyi ve bunu sürdürmeyi başardı; bu da onların uzun bir süre boyunca hassas verileri toplamasına olanak tanıdı.
APT41 Saldırısının Saldırı Yolu
APT41, devletin kontrol edemediği finansal amaçlı eylemlerde bulunan ve Çin devlet destekli casusluk faaliyetlerinde bulunan tanınmış bir siber tehdit grubudur.
Mandiant, Google’ın Tehdit Analizi Grubu (TAG) ile iş birliği yaparak, APT41’in DUSTPAN ve BEACON arka kapısını çalıştırmak için ANTSWORD ve BLUEBEAM web kabuklarını kullandığını gözlemledi.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo
Saldırı sırasında APT41, DUSTTRAP’ı kullandı ve bu da etkileşimli klavye kullanımıyla sonuçlandı. DUSTTRAP, şifresini çözdükten sonra bellekte kötü amaçlı bir yük çalıştırarak adli analiz için mümkün olduğunca az kanıt bıraktı.
APT41, tehlikeye atılan ağlardan büyük miktarda hassas veriyi sistematik ve etkili bir şekilde dışarı çıkarmak için PINEGROVE’u kullandı ve verileri dışarı çıkarmayı ve daha ileri analizleri kolaylaştırmak için OneDrive’a gönderdi.
Oracle veritabanlarından veri aktarımı için SQLULDR2 kullanıldı.
FARAZ VE İŞARETÇİ
AC/C++’ın bellek içi dropper’ı olan DUSTPAN, gömülü bir yükü şifresini çözer ve çalıştırır.
“Bu sefer APT41, kötü amaçlı dosyayı w3wp.exe veya conn.exe olarak çalıştırarak DUSTPAN’ı bir Windows ikili dosyası olarak gizledi. Ek olarak, DUSTPAN örnekleri Windows hizmetleri aracılığıyla kalıcı hale getirildi”, Microsoft.
DUSTPAN örnekleri tarafından belleğe yüklenen BEACON yükleri chacha20 ile şifrelendi.
BEACON yükleri yürütüldükten sonra, iletişim için Cloudflare arkasında barındırılan komuta ve kontrol (C2) kanalları veya kendi kendini yöneten altyapı olarak Cloudflare Çalışanlarını kullandı.
TOZ MERDİVENİ
DUSTTRAP çok bileşenli, çok aşamalı bir eklenti çerçevesidir.
Kötü amaçlı eylemlerini meşru trafikle daha da harmanlamak için, bu örnekte şifresi çözülen yükün, komuta ve kontrol için APT41 tarafından kontrol edilen altyapıyla veya bazı durumlarda tehlikeye atılmış bir Google Workspace hesabıyla iletişim kanalları açması amaçlanmıştı.
.webp)
Saldırı sırasında keşfedilen DUSTTRAP zararlı yazılımı ve beraberindeki bileşenlerin, muhtemelen çalıntı kod imzalama sertifikalarıyla kod imzalandığı görüldü.
Kod imzalama sertifikalarından birinin oyun sektöründe faaliyet gösteren Güney Koreli bir şirkete ait olduğu ortaya çıktı.
SQLULDR2 ve PINEGROVE
Uzak bir Oracle veritabanının içerikleri, C/C++ komut satırı aracı SQLULDR2 kullanılarak yerel bir metin dosyasına aktarılabilir.
Mandiant, APT41’in saldırı sırasında verileri dışarı sızdırmak için PINEGROVE kullandığını fark etti. PINEGROVE, OneDrive API aracılığıyla dosyaları toplamak ve OneDrive’a göndermek için kullanılabilen Go tabanlı bir komut satırı yükleyicisidir.
Grubun video oyunu sektörüne saldırarak kişisel servet peşinde koşmasının, daha sonra casusluk faaliyetlerinde kullanılan stratejilerin oluşturulmasında etkili olduğu düşünülüyor.
Günümüzün büyük bir tehdidi olan yavaş DDoS saldırılarıyla mücadele hakkında bilgi edinmek için ücretsiz web seminerimize katılın.