İlk olarak 2016 yılında yabancı güvenlik satıcıları tarafından maruz kalan kötü şöhretli Konfüçyüs hackleme organizasyonu, Güney ve Doğu Asya’daki hükümet ve askeri kuruluşlar için önemli bir tehdit oluşturmaya devam ediyor.
2013 yılına dayanan saldırı faaliyetleriyle, bu grup son zamanlarda operasyonlarını artırdı ve kritik yerli birimleri ve endüstrileri ileri taktiklerle hedef aldı.
Sofistike bir siber tehdidi ortaya çıkarmak
Rapora göre, Knowec 404 Advanced Tehdit istihbarat ekibi, Konfüçyüs’ün Arsenal’de, ünlü Wooperstealer kötü amaçlı yazılımlarla eşleştirilmiş “Anondoor” adlı modüler bir arka kapı ortaya çıkardı ve siber savaş yeteneklerinde tehlikeli bir evrime işaret etti.
.png
)
En son saldırı vektörü, “Python313.dll” (anondoor) ve “Blueale.exe” olarak adlandırılan meşru bir Python yürütülebilir dosyası dahil olmak üzere birden fazla bileşeni indirmek için bir komut dosyasını tetikleyen görünüşte zararsız bir LNK dosyasıyla başlar.
Bir kez yürütüldüğünde, Blueale.exe, grubun önceki indirici Truva atlarından daha keskin bir yükseltmeyi işaret eden bileşenli bir arka kapı olan Anondoor’u yükler.
Basit komut dosyalarından modüler backdoors’a kadar
Kalıcının ilk komut dosyalarıyla elde edildiği önceki örneklerin aksine, Anondoor artık Blueale.exe’yi “SystemCheck” adlı planlanmış bir göreve yerleştirerek, tehlikeye atılan sistemlere uzun vadeli erişim sağlayarak kalıcılığı ele alıyor.
Bu değişim, kötü niyetli işlemleri ademi merkezileştirerek tespitten kaçınmak için stratejik bir hareket göstermektedir.
Ayrıca, Anondoor, ana bilgisayar sistem sürümü, yerel ve genel IP adreslerinden, ana bilgisayar adlarından, disk ayrıntılarına ve uzak bir sunucuya aktararak, enfekte sistem için benzersiz bir UUID’yi ürün yazılımı verilerine, kullanıcı adlarına ve ana bilgisayar adlarına dayanan özel bir hash algoritması kullanarak genişleten kapsamlı sistem bilgilerini toplar.
Sofistike, Anondoor’un 2024 ADS saldırısında konuşlandırılan bilinen bir veri çalma kötü amaçlı yazılım olan Wooperstealer, ek kötü amaçlı bileşenler indirme yeteneği ile derinleşir.
Benzersiz bir şekilde, Wooperstealer, veri açığa çıkması için gömülü bir sunucu adresinden yoksundur; Bunun yerine, yükleme sırasında anondoor tarafından geçirilen parametrelere dayanır, sanal alan analizini karmaşıklaştırır ve akım antivirüs tespiti etkisiz hale getirir ve sıfır algılama oranı ile etkisizdir.
Komut ve kontrol (C2) sunucusu ile iletişim, etkileşimlerin gerçek doğasını gizlemek için Base64 kodlu istekler ve özel sınırlayıcılar kullanılarak titizlikle parametrelendirilir.
Komutlar, arka kapı bileşenlerini indirmek için modül kimlikleri ve URL’leri içeren yapılandırılmış bir formatta ayrıştırılırken, veri ekleme teknikleri C2 altyapısını daha da maskeliyor.
Bu modüler yaklaşım, C# dll kapsülleme ve dinamik yöntem çağrısı ile birleştiğinde, Konfüçyüs’ün yüksek teknik yinelemesini sergiliyor, izleme ve savunmayı güvenlik ekipleri için yokuş yukarı bir savaş haline getiriyor.
Gerçek C2 sunucularını gizleme katmanlarının arkasına gizleme yetenekleri, yakalanan bileşenlerin bile çok az harekete geçirilebilir zeka vermesini sağlar.
Konfüçyüs örgütünün şimdi Anondoor gibi modüler arka kapılar ve Wooperstealer gibi yükler tarafından güçlendirilen komşu ülkelere acımasız saldırıları, büyüyen bir siber tehdit manzarasının altını çiziyor.
Basit indirme ve denetim truva atlarından karmaşık, sanal alan açma mekanizmalarına kadar sürekli evrimleri, bölgedeki hükümetler ve askeri organlar için bu tür sinsi düşmanlara karşı savunmalarını desteklemek için keskin bir uyarıdır.
Uzlaşma Göstergeleri (IOC)
| Tip | Değer |
|---|---|
| DOĞRAMAK | abefd29c85d69f3f3cf8f5e6a2be7683416c43d8d1f6643470b359ed4b1b |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin