Yaygın olarak APT32 olarak takip edilen OceanLotus hacker grubu, Çin’in “Xinchuang” BT ekosistemini hedef alan yüksek hedefli bir gözetim kampanyası başlattı.
Bu stratejik eksen, güvenli, kendine güvenen bilgi teknolojisi ortamları oluşturmak için özel olarak tasarlanmış yerli donanım ve yazılım çerçevelerinden ödün vermeye odaklanıyor.
Tehdit aktörleri, bu yerel sistemlerin benzersiz mimarisinden yararlanarak, daha önce yabancı siber casusluğa karşı dayanıklı olduğu düşünülen hassas hükümet ve endüstriyel ağlara sızmayı hedefliyor.
Saldırganlar, Xinchuang terminallerinin Linux tabanlı mimarisine göre tasarlanmış gelişmiş hedef odaklı kimlik avı tuzaklarından yararlanarak çok yönlü bir çoklu vektör yaklaşımı kullanıyor.
Bu vektörler, Windows kısayollarına benzer şekilde çalışan kötü amaçlı .desktop dosyalarını, WPS Office aracılığıyla uzaktaki belgeleri çağıran PDF tuzaklarını ve doğrudan önceden yüklenmiş Java ortamlarında yürütülen JAR arşivlerini içerir.
.webp)
Genellikle resmi hükümet bildirimleri gibi görünen bu ilk erişim yöntemleri, hedeflenen sektör için ortak olan meşru idari iş akışları ve dosya formatlarıyla harmanlanarak standart güvenlik kontrollerini atlayacak şekilde titizlikle tasarlanmıştır.
Blackorbird güvenlik analistleri, etkilenen ağlarda farklı bir tedarik zinciri ihlali modeli gözlemledikten sonra kötü amaçlı yazılımı tespit etti.
Şüpheli sıfır gün kusurlarından yararlanma
Araştırmaları, grubun altyapı genelinde kötü amaçlı güncelleme komut dosyalarını dağıtmak için şüpheli sıfır gün güvenlik açıklarından yararlanmadan önce, başlangıçta dahili güvenlik sunucularına kaba kuvvet uygulama girişiminde bulunduğunu vurguluyor.
.webp)
Bu kalıcılık mekanizması, hem Linux hem de Windows terminallerine uzun vadeli, gizli erişim sağlamalarına olanak tanır ve güvenilir dahili güncellemeleri, gözetim yükleri için etkili bir şekilde bir dağıtım kanalına dönüştürür.
Özellikle dikkate değer bir teknik, hedeflenen birçok dağıtımda varsayılan bir bileşen olan Atril Belge Görüntüleyici’deki N günlük CVE-2023-52076 güvenlik açığından yararlanılmasını içerir.
Saldırganlar, açılışta kritik yol geçişini ve rastgele dosya yazma hatasını tetikleyen “Güvenlik Ofisi İnceleme Çalışması – Son Sürüm.epub” gibi kötü amaçlı bir EPUB dosyası dağıtır.
Bu istismar, saldırganın dosya sistemi kısıtlamalarını atlamasına ve yükseltilmiş ayrıcalıklara ihtiyaç duymadan doğrudan kullanıcının otomatik başlatma dizinine bir kalıcılık mekanizması, özellikle de masaüstü-hizmet-7803.desktop adlı bir dosya yazmasına olanak tanır.
Eş zamanlı olarak, istismar, görsel tespitten kaçınmak için şifrelenmiş bir yük dosyası olan .icWpnBHQcOKa’yı gizli .config dizinine bırakır.
Sistem yeniden başlatıldığında veya kullanıcı oturum açtığında, kötü amaçlı masaüstü girişi otomatik olarak yürütülür, gizli yükün şifresi çözülür ve Python tabanlı bir indirici başlatılır.
.webp)
Bu çok aşamalı bulaşma süreci, kötü amaçlı yazılımın statik analiz araçları tarafından tespit edilmemesini sağlarken, sürekli veri sızıntısı için hedeflenen ortamda sağlam ve dayanıklı bir dayanak oluşturur.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
