-1.webp)
Tayvan hükümetini hedef alan bir siber saldırı grubu olan GroundPeony, Mart 2023’te keşfedildi; Kötü amaçlı yazılım dağıtmak için meşru web sitelerine müdahale etmek, URL gizleme ve çok aşamalı yükleyiciler gibi çeşitli taktikler kullandı.
Daha ileri araştırmalar, genellikle Follina olarak bilinen CVE-2022-30190’ı kullanan bu saldırıdan Çin bağlantılı bir saldırı grubunun sorumlu olduğunu ortaya çıkardı. Ancak saldırı grubu artık şu şekilde adlandırıldı:ZeminŞakayıknao-sec tarafından.
GroundPeony veya UNC3347 (Kategorize edilmemiş Gruplar)
GroundPeony’nin 2021’den bu yana aktif olduğu ve başta Tayvan ve Nepal olmak üzere Doğu ve Güney Asya’daki devlet kuruluşlarını hedef aldığı belirlendi.
Grubun Follina’dan yararlandığı ve sıfır güne erişimi olduğu veya bir sıfır gün geliştirme kapasitesine sahip olduğu tahmin ediliyor. Bu nedenlerden dolayı GroundPeony, saldırı becerileri ve motivasyonu yüksek bir APT grubu olarak değerlendirilmektedir.
Buna ek olarak GroundPeony’nin kullandığı kötü amaçlı yazılımın VirusTotal’da 2021’den beri mevcut olduğu ve en eski saldırı kampanyasının Nepal, Hindistan ve diğer ülkelere yönelik saldırıların gerçekleştiği Nisan-Haziran 2022 dönemine dayandığı tespit edildi.
Teknik Analiz
APT grubu, ZIP dosyasının indirilmesi için bir URL ile gömülü bir DOC dosyasından oluşan hedef odaklı kimlik avı e-postası göndererek başlar. ZIP dosyası indirildikten sonra, kötü amaçlı yazılım bulaştırmak için yürütülen bir EXE dosyası ve bir DLL dosyası içerir.
Ayrıca tehdit aktörleri e-postanın gövdesi olarak Tayvan ile ABD arasındaki denizcilik konulu tartışmaları da kullanarak e-postayı daha meşru hale getirdi. Ancak DOC dosyası bu e-postaya eklenerek “ABD ile ikili istişarelere ilişkin” başlığıyla mağdurlara gönderiliyor.
DOC dosyasını daha ayrıntılı açıklamak gerekirse, bir hata oluştuğunu ve bir yamanın güncellenmesi gerektiğini belirten, güncellemeye (kötü amaçlı ZIP dosyası) işaret eden bir bağlamdan oluşur.
Kötü amaçlı yazılımdan oluşan ZIP dosyası indirme işleminde güncelleme sonuçlarını indirmeye devam ediliyor.
Microsoft’u taklit eden URL daha da araştırıldı, ancak bunun bir Cuttly (URL kısaltıcı ve Bağlantı yönetimi platformu) olduğu anlaşıldı.
Bu URL, Cuttly web sitesini açıyor ve bu tehdit aktörlerinin güvenliği ihlal edilen Tayvanlı bir Eğitim kurumuna yönlendiriyor. Bu eğitici web sitesi, kötü amaçlı yazılımla arşivlenen bir ZIP dosyasından oluşur.
Bir EXE dosyası (Install.exe veya 系統安全補丁.exe) yürütüldüğünde, $RECYCLE.BIN klasöründeki 4 dosyayı C:\Program Data klasöründeki mikrofon dizinine kopyalar. Ayrıca bu 4 dosya daha sonra mic.exe, version.dll, mic.doc ve mic.ver olarak yeniden adlandırılır.
Mic.exe dosyası, dijital imza içeren meşru bir EXE dosyasıdır; version.dll dosyası ise yandan yükleme için bir DLL ve mic.doc için bir kabuk kodu başlatıcısıdır. mic.doc dosyası bir kabuk kodu indiricisidir ve mic.ver, micDown için bir yapılandırma dosyasıdır.
Ayrıca, kötü amaçlı yazılıma ilişkin tam bir rapor, kötü amaçlı yazılımın davranışı, gizleme, metodolojiler ve diğer bilgiler hakkında eksiksiz bilgi sağlayan nao-sec tarafından yayınlandı.
Uzlaşma Göstergeleri
03[.]199.17.184
160[.]20.145.111
172[.]93.189.239
*.onedrivo[.]com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 Google Haberler’de, Linkedin’de takip ederek en son Siber Güvenlik Haberleri hakkında bilgi sahibi olun, heyecanve Facebook.