“Lapdogs” olarak adlandırılan gelişmiş bir operasyonel röle kutusu (ORB) ağı aracılığıyla dünya çapında 1.000’den fazla küçük ofis/ev ofisi (SOHO) cihazını hedefleyen sofistike bir Çin bağlantılı siber casusluk kampanyası ortaya çıktı.
Eylül 2023’ten bu yana aktif olan bu gizli altyapı operasyonu, ulus devlet siber savaş taktiklerinde önemli bir evrimi temsil eder ve yıkıcı saldırılar için değil, gizli, uzun vadeli operasyonel altyapı olarak uzlaştırılmış cihazlar kullanır.
Kampanya, ABD ve Güneydoğu Asya’da, özellikle Japonya, Güney Kore, Hong Kong ve Tayvan’da yoğunlaşan hedefler ile dikkate değer bir coğrafi hassasiyet gösteriyor.
.png
)
Gürültülü, dikkat çekici saldırıları başlatan geleneksel botnetlerden farklı olarak, Lapdogs ağı cerrahi hassasiyetle çalışır ve kötü niyetli aktiviteler için gizli röle puanları olarak hizmet verirken normal şekilde çalışmaya devam eden enfekte cihazları korur.
Bu yaklaşım, siber güvenlik profesyonelleri için tespit ve ilişkilendirmeyi son derece zorlaştırır.
Güvenlik Saklığı analistleri, daha önce bildirilmemiş bu tehdidi kapsamlı adli analiz yoluyla tanımladılar ve yüksek odaklanmış, hedefe yönelik saldırganlar öneren farklı operasyonel kalıpları ortaya çıkardılar.
Araştırmacılar, kasıtlı kampanya büyümesinin kanıtlarını keşfettiler ve saldırganlar zaman içinde iyi planlanmış saldırı setleri aracılığıyla belirli bölgeleri hedefleyen saldırı dalgaları başlattılar.
Mandarin kodlayıcı notları ve mağdur kalıpları da dahil olmak üzere adli kanıtlar, LAPDOGS altyapısının UAT-5918 olarak bilinen gelişmiş kalıcı tehdit grubu tarafından kullanıldığını değerlendirmek için Strike Team analistlerine liderlik etti.
Shortleash arka kapısı: Teknik Mimari ve Kalıcılık Mekanizmaları
Lapdogs kampanyasının teknik sofistike, “Shortleash” etrafında, özellikle de tehlikeye atılan Soho cihazlarında kalıcı dayanaklar oluşturmak için tasarlanmış özel bir arka kapı kötü amaçlı yazılım.
Bu kötü amaçlı yazılım, Los Angeles Emniyet Müdürlüğüne makul bir örtü için referans verdiği görünen “LAPD” olarak ortaya çıkan kendi kendine imzalanmış TLS sertifikaları üreterek özellikle akıllı bir gizleme tekniği kullanır.
Sertifika oluşturma modelleri, küresel olarak 1000’den fazla aktif olarak enfekte olmuş düğüm ortaya çıkardı ve belirli coğrafi bölgeleri hedefleyen mikro intrikasyon kampanyalarına karşılık gelen farklı sivri uçlar.
Arka kapı tasarımı, gizli, yıkıcı kötü amaçlı yazılım davranışlarını tanımlamaya odaklanan geleneksel algılama mekanizmalarından kaçınırken tehdit aktörlerinin uzun vadeli erişimi sürdürmesini sağlar.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial