Sofistike Çin bağlantılı tehdit oyuncusu Mustang Panda, IBM’nin X-Force tarafından Haziran 2025’te tanımlanan bir kampanyanın son analizine göre, siber casusluk cephanesini özellikle Tibet topluluğunu hedefleyen gelişmiş bir DLL yan yükleme tekniği ile rafine etti.
Siyasi olarak motive edilen bu operasyon, tehdit aktörlerinin güvenlik kontrollerini atlamak ve tehlikeye atılan sistemlerde devam etmek için şaşkınlık yöntemlerini nasıl sürekli olarak geliştirdiklerini göstermektedir.
Saldırı vektörü, ‘Sessiz Photos.exe için Voice’ adlı zararsız bir yürütülebilir ürün gibi görünen özenle hazırlanmış bir .zip dosyasıyla başlar – Dalai Lama’nın hedeflenen demografiye hitap etmek için tasarlanmış kitabına kasıtlı bir referans.
Ancak, arşiv daha uğursuz bir yükü gizler: Libjyy.dll adlı gizli bir DLL dosyası, standart dosya keşif yöntemleri aracılığıyla kullanıcılar için görünmez kalır.
Kötü niyetli DLL, gizli korumak için Windows Dosya öznitelikleri kullanır, özellikle de –ARHS– Özellik kombinasyonu:
- A (Arşiv): Yedekleme için işaretlenmiş dosya.
- R (salt okunur): Değişikliği önler.
- H (Gizli): Dosyayı Windows Gezgini’nden gizler.
- S (Sistem Dosyası): “Gizli Dosyaları Göster” etkin olsa bile dosyayı daha da gizler.
Bu sofistike gizleme tekniği, kullanıcıların özellikle klasör seçeneklerine gitmedikçe ve tipik kullanıcılar tarafından nadiren gerçekleştirilen bir eylem olan “korumalı işletim sistemi dosyalarını gizle” ü işaretlemedikçe DLL’nin tespit edilmemesini sağlar.
Çin-Nexus göstergeleri
Birincil yürütülebilir ürünün teknik analizi, Çin-Nexus tehdit operasyonları ile yaygın olarak ilişkili TellTale imzalarını ortaya çıkarır.
İkili, “Hefei Nora Network Technology Co., Ltd.” Şirket adı ve telif hakkı sahibi olarak, “FFWallpaper Widgets Jyy” ürün adı ile birlikte.
Önceki bölümde bilinmeyen olarak tanımlanan dize referansını analiz ederken, Kesakode’un da bilinmeyen olarak tanımlandığı bir işlevde referans verildiğini görebiliriz.
Araştırmalar, bu isim altında hiçbir meşru şirketin bulunmadığını, ancak daha önceki Çin bağlantılı kampanyalarda benzer fabrikasyon kuruluşların ortaya çıktığını gösteriyor.
Yürütülebilir, tek amacı LoadLibraryW API’si üzerinden gizli DLL’nin dinamik olarak yüklenmesini içeren bir yükleyici olarak işlev görür.
Bu minimalist yaklaşım, birincil kötü amaçlı işlevselliğin gizli DLL bileşeninde ayrılmış kalmasını sağlarken saldırı yüzeyini azaltır.
Gizli Libjyy.dll, şüphe önlemek için “Wargaming.net Oyun Merkezi” nden meşru yazılım olarak maskelenen önemli ölçüde daha sofistike yetenekler içerir.
Analiz, bu bileşenin, Dize Şifrelemesi, Bağımsız Değişkenlik, Kalıcılık Kuruluşu ve Yük Dağıtım dahil olmak üzere çeşitli kritik işlevleri uygulayan çok aşamalı bir kötü amaçlı yazılım olan İstekloadlayıcı olarak hizmet ettiğini ortaya koymaktadır.
Kötü amaçlı yazılım, API çağrıları ve dizelerini gizlemek için tek bayt anahtar 0x19 kullanarak basit bir XOR şifreleme algoritması kullanır.
Bu teknik, statik analiz algılamasından kaçarken kritik Windows API’lerinin dinamik yüklenmesine izin verir. İstemci, bu parametrenin mevcut olup olmadığına bağlı olarak farklı kod yollarını izleyerek, yürütme sırasında bir “lisans” argümanını özellikle kontrol eder.
Uygun argüman olmadan yürütüldüğünde, kötü amaçlı yazılım, enfekte olmuş sistem üzerinde çift kalıcılık mekanizmaları oluşturur.
Malcat, ikili, sökme, dekompler, onaltılık editör ve ayrıca verilerin yapılandırılma şekli yoluyla çeşitli açılardan analiz etmemizi sağlar.
İlk olarak, hem Yasal Yürütülebilir hem de Kötü amaçlı DLL’yi ** C: \ ProgramData \ Adobelicensingplugin ** adresindeki fabrikasyonlu bir adobe dizinine kopyalar ve bunları sırasıyla wf_adobe_licensing_helper.exe ve newui.dll olarak yeniden adlandırır.
Kötü amaçlı yazılım daha sonra, sistem yeniden başlatılması üzerine uygun “lisanslama” argümanıyla yürütülmesini sağlayarak \ microsoft \ windows \ currenction \ run anahtarı yazılımı aracılığıyla kayıt defteri kalıcılığı oluşturur.
Zamanlanmış görev kalıcılığı
Kayıt defteri tabanlı kalıcılığın ötesinde, kötü amaçlı yazılım Windows görev zamanlayıcısını kullanarak ikincil bir mekanizma uygular.
İstemci, her iki dakikada bir çalıştıran “AdobeexperiAnemanager” adlı planlanmış bir görev oluşturan bir komutu çözer ve yürütür:
textschtasks /F /Create /TN "AdobeExperienceManager" /SC minute /MO 2 /TR "C:\ProgramData\AdobeLicensingPlugin\WF_Adobe_licensing_helper.exe Licensing"
Bu gereksiz kalıcılık yaklaşımı, olay müdahale çabalarını zorlaştırır ve bir kalıcılık mekanizması keşfedilse ve kaldırılsa bile erişimi sürdürme olasılığını artırır.
Doğru bağımsız değişkenle yürütüldüğünde, İsteksizer birincil yük dağıtım aşamasına geçer. Kötü amaçlı yazılım, Page_execute_readwrite izinleri ile VirtualAlloc’u kullanarak yürütülebilir bellek tahsis eder, ardından şifre çözülmüş kabuk kodunu bu arabelleğe kopyalar.
Kabuk kodunu doğrudan yürütmek yerine, kötü amaçlı yazılımları kötüye kullanır. EnumFontsw API geri arama mekanizması Shellcode adresini geri arama işlevi işaretçisi olarak geçirerek, birçok güvenlik izleme çözümünden kaçan bir teknik.
Puboader olarak tanımlanan dağıtılan kabuk kodu, gerekli Windows API’lerini dinamik olarak çözmek için ROR13 algoritmasını kullanarak API karma uygular.
Bu bileşen, gerekli modülleri bulmak ve yüklemek için Process Çevre Bloğu (PEB) yürümesini gerçekleştirir ve sonuçta sistem bilgilerini uygulamak için komut ve kontrol altyapısı ile iletişim kurar.
Kampanya, Mustang Panda’nın Tibet çıkarlarına özgü sosyal mühendislik unsurlarını ileri teknik gizleme teknikleriyle birleştirerek hedefleme metodolojilerindeki sürekli evrimini gösteriyor.
Güvenlik ekipleri, benzer kampanyaları etkili bir şekilde tespit etmek için olağandışı DLL yükleme modelleri, planlanan görev oluşturma ve şüpheli kayıt defteri değişiklikleri için kapsamlı izleme uygulamalıdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.