Yakın zamanda, Symantec Threat Hunter ekibindeki güvenlik araştırmacıları, Asya’daki devlet kurumlarını hedef alan bir siber casusluk faaliyeti tespit etti.
Bu faaliyet, daha önce ünlü bir RAT olan “ShadowPad” ile ilişkilendirilen farklı bir grup tehdit aktörü tarafından yürütülmektedir. Son kampanyalarda tehdit aktörleri tarafından giderek artan sayıda araç seti konuşlandırıldı ve kullanıldı.
Hedefler
Bu mevcut kampanyanın birincil amacı, Asya hükümetini ve Asya kamu kuruluşlarını hedef almaktır. Aşağıda tüm ana hedeflerden bahsettik: –
- Hükümet Başkanı/Başbakanlık
- Finansla bağlantılı devlet kurumları
- Devlete ait havacılık ve savunma şirketleri
- Devlete ait telekom şirketleri
- Devlete ait BT kuruluşları
- Devlete ait medya şirketleri
saldırı zinciri
Saldırıyı gerçekleştirmek için önce kötü niyetli bir DLL yerleştirilir. Bu dosyayı yandan yükleme yoluyla yüklemek için meşru bir uygulamanın içinde bir .dat dosyası içeren yürütülebilir bir dosya başlatılır.
Bu bilgisayar korsanları tarafından kötüye kullanılan Bitdefender Crash Handler yürütülebilir dosyası 11 yaşındadır ve bu, bilgisayar korsanları tarafından kötüye kullanılan meşru bir uygulamanın bir örneğidir.
Bundan yararlanarak, tehdit aktörleri, komutların doğrudan bellekten yürütülmesini kolaylaştırabilir ve hatta ek yükleri de yürütebilir. Bu, komutları veya ek yükleri doğrudan bellekten yürütmek için kullanılabilir.
LSASS’den kullanıcı kimlik bilgilerini çalmak için, tehdit aktörleri arka kapı erişimini kurduktan sonra “ProcDump”ı kurar. DLL korsanlığından yararlanarak LadonGo sızma testi çerçevesini yandan yüklemek yine mümkün oldu.
Aynı ağdaki iki bilgisayar, CVE-2020-1472 (Netlogon) aracılığıyla ayrıcalıklarını yükseltmek için bilgisayar korsanları tarafından istismar edildi. Crash Handler, saldırganlar tarafından PsExec kullanılarak yürütüldü.
Ardından, bilgisayar korsanları, DLL sipariş kaçırma hilesini kullanarak ağdaki ek bilgisayarlardan yükleri yükler. Kullanıcıların kimlik bilgilerine ve günlük dosyalarına, tehdit aktörleri tarafından monte edilen aktif dizin sunucusunun anlık görüntüsü aracılığıyla erişildi.
Ayrıca, tehdit aktörleri tarafından Fscan kullanılarak ağdaki diğer makinelere yönelik açıklardan yararlanma girişimleri gerçekleştirildi. Özellikle, bir Exchange Sunucusunu tehlikeye atmak için Proxylogon (CVE-2021-26855) güvenlik açığından yararlanmak.
Kullanılan özel bilgi hırsızı
Saldırıda daha önce görülmemiş ve çok sayıda özelliğe sahip son derece güçlü bir bilgi hırsızı kullanıldı. Bu bilgi hırsızı Infostealer.Logdatter olarak adlandırıldı.
Bu bilgi hırsızına özel olarak yerleştirilmiş gibi görünen ve aşağıdakileri içeren birçok özellik vardı:-
- tuş günlüğü
- Ekran görüntüsü alma
- SQL veritabanlarına bağlanma ve sorgulama
- Kod enjeksiyonu: Bir dosyayı okuma ve içerdiği kodu bir işleme enjekte etme
- Dosyaları indirme
- Pano verilerini çalmak
Kullanılan yükler
Saldırganlar, saldırılarını gerçekleştirmek için aşağıdaki yükleri kullandılar:-
- PlugX/Korplug Truva Atı
- Sıçan trochilus
- KuasarRAT
- Ladon penetrasyon testi çerçevesi
- Nirsoft Remote Desktop PassView: Microsoft Uzak Masaüstü Bağlantısı yardımcı programı tarafından .rdp dosyalarında saklanan parolayı ortaya çıkaran, genel kullanıma açık bir araç
- Basit Ağ Yönetim Protokolü (SNMP) tarama aracı
- Fscan: Herkese açık bir intranet tarama aracı
- Nbtscan: Açık NETBIOS ad sunucularını tarayan bir komut satırı aracı
- FileZilla: Meşru bir FTP istemcisi
- FastReverseProxy: Bir ters proxy aracı
- WebPass: Herkese açık bir şifre toplama aracı
- TCPing: TCP üzerinden ping’leri etkinleştiren, herkese açık bir araç
- Çeşitli proses damperleri
- Çeşitli tuş kaydediciler
- Bir dizi PowerSploit betiği
Çin devletinin sponsor olduğu APT41 ve Mustang Panda grupları bu kampanyaya bağlandı.
Bu bağlamda, bu casusluk kampanyasının Çinli hackerlar tarafından yürütülüyor olması muhtemeldir. Bununla birlikte, mevcut kanıtlara dayalı olarak kendinden emin bir nitelemeyi destekleyecek yeterli kanıt yoktur.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap