Gelişmiş Kalıcı Tehdit (APT) grubu TA-Shadowcricket tarafından düzenlenen on yıl süren siber casusluk kampanyası, Güney Kore’nin Ahnlab ve Ulusal Siber Güvenlik Merkezi (NCSC) tarafından ortak bir soruşturma yoluyla ortaya çıktı.
Daha önce Shadow Force olarak tanımlanan grup, 2012’den bu yana 72 ülkede 2.000’den fazla sistemi sistematik olarak tehlikeye atmıştır ve Asya-Pasifik bölgesindeki devlet kurumlarında ve işletmelerde birincil hedeflerdir.
Üç aşamalı bir enfeksiyon modeli altında faaliyet gösteren tehdit oyuncusu, IRC botnets gibi eski araçları modern SQL tabanlı arka kapılarla birleştirerek uzun vadeli veri söndürmeye acil finansal kazanç üzerinde öncelik verir.
.png
)
Adli kanıtlar, bazı altyapıyı Çin IP adreslerine bağlar, ancak grubun kripto para birimi madencilerinin entegrasyonu atıfları zorlaştırır.
Ta-Shadowcricket’in faaliyetleri ilk olarak 2024’te Ahnlab’ın tehdit istihbarat ekibinin Koreli bir IRC sunucusuna bağlı kötü amaçlı yazılım örneklerini analiz ettiği zaman işaretlendi.
Başlangıçta firmanın taksonomik çerçevesi altında “larva-24013” olarak sınıflandırılan grup, tarihi gölge kuvvet kampanyalarıyla çapraz referans taktiklerinden sonra yüksek yapılandırılmış APT’ler için ayrılmış “eklembacaklılar” statüsüne yeniden sınıflandırıldı.
NCSC, 2017’de Güney Kore Savunma Müteahhitlerini hedefleyen daha önceki operasyonlarla paylaşılan kod imzalarını ve iletişim protokollerini belirleyerek komut ve kontrol (C2) altyapısının adli analizi yoluyla bağlantıyı doğruladı.
Özellikle, grup fidye yazılımı dağıtımından veya karanlık web veri açık artırmalarından kaçınarak, kalıcı kimlik bilgisi hasat ve sistem eşlemeye odaklanarak halkın incelemesinden kaçınmıştır.
Bu gizli odaklı yaklaşım, Ta-Shadowcricket’in 13 yılı aşkın bir süredir tespit edilmemesine izin verdi ve bu da devlet destekli hedefleri veya gelecekteki yıkıcı saldırılar için bir suç işletme binası altyapısı önerdi.
Altyapı
Grubun operasyonlarının merkezinde, Güney Koreli bir IP adresinde barındırılan bir IRC sunucusu bulunmaktadır.
Analiz, küresel olarak 2.036 uzlaşmış IP adresi, Çin’de 895, Güney Kore’de 457 ve Hindistan’da 98’i Asya-Pasifik bölgesindeki jeopolitik gerilimlerle hizalanan bir dağıtım olduğunu ortaya koydu.
Saldırganlar öncelikle kötü güvenli uzak masaüstü protokolü (RDP) uç noktaları yoluyla ilk erişim elde etti ve daha sonra Pekin ve Guangzhou’da kayıtlı IP’lere kadar yanal hareket.
IRC altyapısı, kimlik bilgisi hasat, kripto para madenciliği ve yanal hareket komutları için ayrı iş parçacıklarına izin veren bölümlü iletişim için kodlanmış kanallar kullandı.
Bu modüler tasarım, fikri mülkiyet hırsızlığından Monero madenciliği için hesaplamalı kaynak kaçırmaya kadar çeşitli operasyonel hedeflerin eşzamanlı yönetimini sağladı.
Sunucunun Güney Kore’deki fiziksel konumuna rağmen, ağ trafik analizi Çin Unicom ve Çin Telekom dahil Çin ASNS’den kaynaklanan idari girişlerin% 68’ini gösterdi.
Çok aşamalı saldırı yaşam döngüsü
Ta-ShadowCricket’in saldırıları, kalıcılığı ve operasyonel esnekliği en üst düzeye çıkarmak için tasarlanmış yapılandırılmış üç fazlı bir modeli takip ediyor.
Keşif aşamasında, saldırganlar gibi araçlar dağıtım Upm (bir Windows ayrıcalık artış yardımcı programı) ve Sqlshell Active Directory konfigürasyonlarını numaralandırmak ve yüksek değerli hedefleri tanımlamak.
Bu araçlar, yerel sistem güvenlik açıklarına göre uyarlanmış özel istismar zincirlerinin oluşturulmasını sağlar ve genellikle modası geçmiş IIS veya SQL Server örneklerinden yararlanır.
Uzaktan kumanda aşamasında, grup iki ana arka kapı kullanır: Maggiaveritabanı sorguları aracılığıyla komutları yürüten SQL Server genişletilmiş saklı yordam (ESP) ve Sqldoor6667 bağlantı noktasında iletişim kuran eski bir IRC botu.
Maggie’nin Microsoft SQL Server ile entegrasyonu, kötü amaçlı trafiği meşru veritabanı işlemleriyle harmanlayarak geleneksel ağ izleme araçlarını atlamasını sağlar. \
Bu arada SQLDOOR, Windows hizmet kaydı ve IRC C2’ye periyodik bir işaretleme yoluyla kalıcılığı korur.
Son kalıcılık aşaması, Kimlik bilgisi (bir mimikatz türevi) ve Pemodyfify yapmaksistem ikili dosyalarına kötü niyetli DLL’ler enjekte eden explorer.exe.
PeModififier’ın şifreleme işlevlerini engellemek için API kancasını kullanması, uç nokta algılamasını tetiklemeden korunan kimlik bilgilerinin şifre çözülmesini sağlar.
Eşzamanlı olarak, Madenci Modül, meşru hesaplama faaliyeti kisvesini korurken bir gelir akışı sağlayarak kripto para madenciliği için GPU kaynaklarını ele geçirir.
Ta-Shadowcricket’in operasyonel kalıpları ulus devlet katılımı önerirken, birkaç anomali atıfta bulunmayı karmaşıklaştırır.
Grubun C2 sunucuları, IPS’den APT41 ve BlackTech gibi Çin devlet destekli gruplarla bağlantılı idari girişler gösterdi.
Bununla birlikte, Maggie’nin kod tabanına gömülü Mandarin dili takma adların varlığı ve devlete uyumlu Apts tarafından nadiren kullanılan kripto para madencilerinin kullanımı, potansiyel hibrit güdülere işaret ediyor.
NCSC analistleri iki senaryoyu varsayıyor: suç taktiklerini kapak olarak kullanan devlet destekli bir varlık veya Çin askeri yüklenicilerinden sızan araçları yeniden düzenleyen bir siber suçlu grup.
Tayvanlı yarı iletken firmalarının ve Vietnam deniz lojistik sağlayıcılarının hedeflenmesi, Çin’in stratejik çıkarlarına uyuyor, ancak sıfır gün istismarlarının olmaması ve RDP ihlallerine güvenmek tipik PLA bağlantılı tehdit davranışlarından ayrılıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!