Winnti Grubu olarak bilinen ve APT41 olarak da adlandırılan Çin merkezli ileri kalıcı tehdit (APT) grubu, üretim, malzeme ve enerji sektörlerinde Japon organizasyonlarını hedefleyen yeni bir siber saldırı kampanyası başlattı.
“Revivalstone” olarak adlandırılan bu kampanya, gelişmiş yetenekleri ve sofistike kaçırma tekniklerini sergileyen kötü şöhretli Winnti kötü amaçlı yazılımlarının yeni bir versiyonunu kullanıyor.
Saldırı ilk olarak Mart 2024’te LAC’ın Siber Acil Durum Merkezi tarafından tanımlandı ve o zamandan beri ayrıntılı olarak analiz edildi.
Bulgular, Virüs Bülteni 2024 ve Tehdit Analisti Zirvesi 2024 dahil olmak üzere önde gelen siber güvenlik konferanslarında sunuldu.
Revivalstone kampanyası
Revivalstone kampanyası, web’e dönük ERP sistemlerinde SQL enjeksiyon güvenlik açıklarından yararlanarak başlar.
Bu giriş noktası aracılığıyla, saldırganlar ilk erişimi oluşturmak için “China Chopper”, “Backer” ve “SQLMAP Dosya Yükleyicisi” gibi web mermileri dağıtır.
Bu araçlar, hedeflenen ağlardaki keşif, kimlik bilgisi hasat ve yanal hareketi kolaylaştırır.
İçeri girdikten sonra, saldırganlar Winnti kötü amaçlı yazılımının güncellenmiş bir sürümünü kullanırlar.
Bu gelişmiş kötü amaçlı yazılım, gizli kalıcılık için bir rootkit içerir ve algılamayı önlemek için şifreli iletişim kanallarını kullanır.
Saldırganlar ayrıca, birbirine bağlı ağlara sızmak için Yönetilen Hizmet Sağlayıcılarından (MSP’ler) uzlaşmış hesaplardan yararlandı ve kampanyanın birden fazla kuruluş üzerindeki etkisini artırdı.
Geliştirilmiş kötü amaçlı yazılım özellikleri
Revivalstone’da gözlemlenen yeni Winnti kötü amaçlı yazılım varyantında çeşitli gelişmiş özellikler var:
- Şifreleme iyileştirmeleri: Kötü amaçlı yazılım, yüklerini ve iletişimlerini güvence altına almak için AES ve ChaCha20 şifreleme algoritmaları kullanır.
- Cihaza özgü şifre çözme anahtarları: IP adresleri ve MAC adresleri gibi benzersiz tanımlayıcılar, çözme anahtarları oluşturmak için analizi karmaşıklaştırır.
- Rootkit dağıtım: Kötü amaçlı yazılım, TCP/IP iletişimini engellemek için çekirdek düzeyinde bir rootkit yükleyerek gizli veri açılmasını sağlıyor.
- Kaçınma Teknikleri: Gizli kod ve DLL kaçırma teknikleri, uç nokta algılama ve yanıt (EDR) sistemlerini atlamak için kullanılır.
Winnti Grubu, Çin devletlerinin çıkarları ile uyumlu uzun bir siberlik kampanyaları geçmişine sahiptir.
Faaliyetleri genellikle oyun, ilaç, havacılık ve şimdi Japonya’da kritik altyapı gibi endüstriler arasında fikri mülkiyet ve hassas verileri hedeflemektedir.
Grubun çalıntı dijital sertifikaları ve gelişmiş kalıcılık mekanizmalarını kullanması sofistike olmasının altını çiziyor.
Bu kampanya, tedarik zincirlerini ve kritik altyapıyı hedefleyen devlet destekli siber aktörlerin yarattığı artan tehdidi göstermektedir.
Kuruluşlar, güvenlik açıklarını yamalayarak, uzlaşma göstergelerini (IOC’ler) izleyerek ve sağlam erişim kontrolleri uygulayarak siber güvenlik savunmalarını güçlendirmeleri istenir.
Siber tehditler geliştikçe, işletmelerin Revivalstone gibi ileri APT kampanyalarıyla ilişkili riskleri azaltmak için çok katmanlı güvenlik stratejileri benimsemeleri çok önemlidir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free