Kritik altyapı güvenliği, siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
‘Weaver Ant’, algılamadan kaçınmak için web kabuğu tünelini kullandı ve hacklenen yönlendiriciler kullandı
Anviksha More (Anvikshamore) •
25 Mart 2025
Görünen bir Çin siber casusluk operasyonu, dört yıl boyunca bir Asya telekomu ağında gizlendi ve iç içe geçmiş şifreleme ve hafif web kabukları ile varlığını kamufle etti.
Ayrıca telekom ağındaki bir uzlaşmacı cihazdan başka bir telekom sağlayıcısının ağına dönmesi için tehlikeye atılmış Zyxel CPE yönlendiricilerinden oluşan operasyonel bir röle kutusu kullandılar (bakınız: bkz: bkz: Orb Ağ Saldırılarına Bağlı Çin Siber Teslim Grupları).
Çinli bilgisayar korsanları, Salt Typhoon olarak izlenen bir grup tarafından ABD sağlayıcılarına son derece halka açık bir patlama da dahil olmak üzere dünyayı kapsayan telekom ağlarının içinde ortaya çıkarıldı.
China Chopper’ın yanı sıra, saldırganlar birden fazla web mermisi ve arka kapı konuşlandırdı, bu da şirketin ağında gizliliği korumalarını ve ek sistemlere sızmak için yanal olarak gezinmelerini sağladı. Bilgisayar korsanlarının dağıttığı gizleme teknikleri arasında özel anahtar kelimelerin özelleştirilmiş Çin helikopter kodu içinde parametre olarak kullanılması vardı. “Parola” ve “tuş” gibi seçtikleri anahtar kelimeler genellikle web uygulaması güvenlik duvarları tarafından günlük olarak otomatik olarak düzeltilir veya maskelenir – çalınan bilgilerin yüklerini algılamayı zorlaştırır.
Bilgisayar korsanları ayrıca kötü amaçlı modüllerin bellek içi yürütülmesini sağladığı için “Inmemory Web Shell” olarak adlandırılan ikinci bir web kabuğu Sygnia’yı kullandı. Web mermileri, HTTP tünellemesinin telekom sistemlerine erişmesini sağlayan bir araç da dahil olmak üzere yükler için kanallardı. Web kabukları ayrıca, bir ağ içindeki yanal hareket için bir yöntem olan gelen kötü amaçlı trafiği yeniden yönlendirmek için proxy sunucuları görevi gördü.
Web mermileri arasında tünellenen trafik şifrelendi, araştırmacıların güvenliği ihlal edilmiş bir sunucu tarafından alınan paketleri yansıtmak ve yakalamak için bir sistem kurmaya yol açtı. Saldırganlar web kabuklarına sabit kodlanmış bir şifreleme anahtarı kullandılar. Sygnia, “Bu, tüm çıktıyı aldıktan sonra yük kodu içindeki her bir şifreleme ve gizleme katmanını ‘soymamızı’ sağladı, böylece sunucu tarafında yürütülmeye yönelik gerçek komutu veya ikili olarak kurtarıldı.”
Dört yıldan fazla erişim, saldırganlar ağı haritalamak ve yüksek değerli hedefleri belirlemek için yapılandırma dosyaları, erişim günlükleri ve kimlik bilgisi verilerini topladı. Windows yaması ve AMSI baypas teknikleri için etkinlik izleme de dahil olmak üzere güvenlik izleme mekanizmalarını devre dışı bıraktılar. Bu, pencerelerdeki amsiscanbuffer işlevini değiştirmeyi içeriyordu amsi.dll modül, ayak izini en aza indirmelerine ve kalıcılığı genişletmelerine izin verir.
Sygnia, tehdit oyuncusunu tehlikeye atılan ağdan tahliye ettiğini, ancak grubun aktif olarak erişimi yeniden kazanmaya çalıştığını söyledi.