Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
İmza Tabanlı Tespiti Yenmek İçin Bilgisayar Korsanları Tarafından Özelleştirilen SugarGh0st Kötü Amaçlı Yazılım
Jayant Chakravarti (@JayJay_Tech) •
4 Aralık 2023
Şüpheli Çinli tehdit aktörleri, istihbarat toplamak için Gh0st RAT kötü amaçlı yazılımının bir çeşidini kullanarak birkaç Güney Koreli kuruluşu ve Özbekistan Dışişleri Bakanlığı’nı hedef aldı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Cisco Talos’taki araştırmacılar, tehdit aktörlerinin en az Ağustos ayından bu yana SugarGh0st olarak adlandırılan Gh0st RAT varyantını kullandığını ve muhtemelen uzaktan erişim Truva atını hedeflenen makinelere dağıtmak için kimlik avı e-postaları kullandığını söylüyor.
SugarGh0st, en az 2008’den beri kullanımda olan Gh0st RAT kötü amaçlı yazılımıyla pek çok benzerliğe sahiptir. C.Rufus Güvenlik Ekibi adlı Çinli bir grup, o yıl kötü amaçlı yazılımın kaynak kodunu yayınladı ve Çinli tehdit grupları, o zamandan beri kötü amaçlı yazılımı ve türevlerini keşif amacıyla defalarca kullandı. veya istihbarat toplama faaliyetleri.
Eylül ayında Proofpoint’teki araştırmacılar, yurttaşları hedef almak ve bilgisayarlarını uzaktan kontrol etmek için Sainbox adı verilen Gh0st RAT varyantını kullanan, finansal motivasyona sahip Çince konuşan tehdit aktörlerini gözlemledi (bkz: Çince Konuşan Aktörlerin Finansal Amaçlı Hack’leri Artıyor).
Bilgisayar korsanları, virüs bulaşmış makineleri uzaktan kontrol etmek, tuş vuruşlarını kaydetmek, ekran görüntüleri almak, web kameralarına ve mikrofonlara erişmek, makineleri yeniden başlatmak, sistem işlemlerini başlatmak veya sonlandırmak ve analizi önlemek için günlük dosyalarını silmek için Gh0st RAT’ı kullanabilir.
Talos araştırmacılarına göre SugarGh0st, belirli kayıt defteri anahtarlarını aramasına, belirli dosya uzantılarına sahip kitaplık dosyalarını yüklemesine ve komut ve kontrol sunucusundan özelleştirilmiş komutlara yanıt vermesine olanak tanıyan ek yeteneklere sahiptir.
Varyant, C2 sunucusuyla değiştirilmiş bir iletişim protokolü kullanarak ve bilinen Gh0st RAT varyantlarında 5 Bayt yerine ağ paket başlığının 8 baytını sihirli bayt olarak ayırarak imza tabanlı algılama araçlarını yenebilir.
Cisco Talos, kimlik avı saldırılarında kullanılan sahte belgelerin “yazar” ve “son değiştiren” bölümlerinde Çince adların bulunması nedeniyle SugarGh0st enfeksiyon kampanyasını Çince konuşan bir tehdit aktörünün düzenlediğine inanıyor. Firma, Özbekistan dışişleri bakanlığının hedef alınmasının aynı zamanda Çin’in yurtdışındaki istihbarat faaliyetleriyle de uyumlu olduğunu söyledi.
Tehdit aktörü, arşivi bir Windows ShortCut LNK dosyasına yerleştirdikten sonra Dışişleri Bakanlığı çalışanına kötü amaçlı bir RAR arşiv dosyası gönderdi. Arşiv açıldığında, teknik düzenlemede devlet idaresinin güçlendirilmesine ilişkin bir başkanlık kararnamesinden kopyalanan metni içeren sahte bir belge ortaya çıktı.
Kurbanın bilmediği kötü amaçlı dosya, çalıştırıldığında hemen komuta ve kontrol sunucusuna bağlanmaya çalışan SugarGh0st kötü amaçlı yazılımını da düşürdü. Kötü amaçlı yazılım, bağlantı kurduğunda ana makine hakkında cihaz adı, işletim sistemi sürümü, kök ve sürücü bilgileri, kayıt defteri anahtarı, Windows sürüm numarası ve Kök sürücünün birim seri numarası gibi bilgileri içeren 8 baytlık bir kalp atışı gönderir. “
Talos araştırmacıları Ashley Sheen ve Chetan Raghuprasad bir blog yazısında “SugarGh0st, uzaktan kumanda işlevlerinin çoğunu yürütebilen tamamen işlevsel bir arka kapıdır. Ters kabuğu başlatabilir ve komut kabuğunu kullanarak C2’den dizeler halinde gönderilen rastgele komutları çalıştırabilir” dedi. “Ayrıca, çalışan hizmetlerin yapılandırma dosyalarına erişerek makinenin hizmet yöneticisini yönetebilir ve hizmetleri başlatabilir, sonlandırabilir veya silebilir.”
Tehdit aktörü ayrıca, blockchain odaklı bir Kore haber kaynağından ve ekipman onarım kılavuzlarından kopyalanan içeriğe sahip sahte belgeler kullanarak Güney Koreli kullanıcıları hedef almak için benzer bir kampanya yürüttü.
Bu, güvenlik araştırmacılarının Özbek yetkililere yönelik siber saldırıları Çince konuşan tehdit aktörlerine atfetmesi ilk kez değil. Ekim ayında Check Point, ToddyCat adlı Çinli ileri düzeyde kalıcı tehdit grubunu, başta Kazakistan, Özbekistan, Pakistan ve Vietnam olmak üzere telekomünikasyon şirketlerini ve devlet kuruluşlarını hedef alan bir dizi siber casusluk saldırısından sorumlu tuttu (bkz: ToddyCat APT Asya Hükümetleri ve Telekomünikasyon Casusluğu).