Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL) tarafından yapılan son analizler, kötü şöhretli Patchwork APT grubu tarafından yürütülen ve devam eden bir siber kampanyayı gün ışığına çıkardı. Bu kampanya, tespit mekanizmalarından etkili bir şekilde kaçınmak ve özellikle Çinli kuruluşlara karşı karmaşık saldırılar gerçekleştirmek için “Nexe” adı verilen yeni bir arka kapıdan yararlanarak taktiklerinde yeni bir evrime işaret ediyor.
Uzun süredir devam eden siber casusluk operasyonlarıyla tanınan ve Dropping Elephant olarak da anılan Patchwork APT grubu 2009’dan beri faaliyet gösteriyor. Hindistan’dan geldiğine inanılan bu grup öncelikle Güney ve Güneydoğu’daki hükümet ve diplomatik kuruluşlar da dahil olmak üzere yüksek profilli kuruluşları hedef alıyor. Asya.
Grup, tarihsel olarak Çin ve Butan’daki kuruluşlara karşı, jeopolitik ilgi alanlarına yönelik odaklı saldırı modelini sergileyen çok sayıda kampanya yürüttü.
Patchwork APT Grubuna Genel Bakış
Temmuz 2024 itibarıyla CRIL, Patchwork APT’nin faaliyetlerini izliyor ve 24 Temmuz’da başlayan dikkate değer bir kampanyayı gözlemliyor. Bu, büyük olasılıkla kimlik avı e-postaları aracılığıyla yayılan ve ilk enfeksiyon vektörü olarak hizmet veren kötü amaçlı bir LNK dosyasının dağıtımını içeriyordu.
Patchwork APT kampanyası, Çin Ticari Uçak Şirketi’ne atıfta bulunarak mağdurları cezbeden “COMAC_Technology_Innovation.pdf.lnk” adlı görünüşte zararsız bir LNK dosyası kullanıyor. Bu taktik, stratejik olarak havacılık ve teknoloji araştırmalarındaki organizasyonları hedefleyen 7. COMAC Uluslararası Bilim ve Teknoloji İnovasyon Haftası’na denk geliyor.
Aliyun’dan analistler bu kampanyada kullanılan taktikleri detaylandırarak Patchwork APT grubunun stratejilerinin karmaşıklığını daha da vurguladılar. Buna paralel olarak, “Large_Innovation_Project_for_Bhutan.pdf.lnk” başlıklı başka bir LNK dosyası, Adaptasyon Fonu Kurulu’nun bir teklifini sergileyerek Butan’ı hedef aldı. Bu, grubun başarılı kimlik avı girişimleri olasılığını artırmak için bölgeye özgü tuzaklar kullanma konusundaki uyum yeteneğini gösteriyor.
Devam eden kampanyalar arasında yeni tanımlanan “186523-pdf.lnk” LNK dosyası Patchwork APT grubunun faaliyetleriyle bağlantılı. Yürütülmesinin ardından bu dosya iki kritik bileşeni indirir: kullanıcıyı aldatmayı amaçlayan zararsız bir PDF ve şifrelenmiş bir kabuk kodu içeren kötü amaçlı bir Dinamik Bağlantı Kitaplığı (DLL). Kötü amaçlı yazılım, DLL yan yükleme tekniklerini kullanarak, DLL’yi yüklemek ve yükünü yürütmek için meşru Windows sistem dosyası “WerFaultSecure.exe”yi kullanarak kötü amaçlı etkinliklerini gizler.
DLL yüklendikten sonra, AMSIscanBuffer ve ETWEventWrite gibi önemli API işlevlerini değiştiren kabuk kodunun şifresini çözer ve çalıştırır, böylece kötü amaçlı yazılımın sistem içinde fark edilmeden çalışmasına olanak tanır. Tespit mekanizmalarından bu metodik kaçınma, Patchwork APT grubunun gelişmiş yeteneklerini vurgulamaktadır.
Saldırıya İlişkin Teknik Bilgiler
PDF gibi görünen LNK dosyası, birçok kötü amaçlı eylemden sorumlu bir PowerShell betiğini başlatır. Betik, ilk önce masum görünen bir PDF’yi belirli bir URL’den indirmek ve onu “C:\ProgramData” dizinine kaydetmek için “Invoke-WebRequest” komutunu kullanır. Ancak bu PDF içerikten yoksundur ve yalnızca hile amaçlıdır.
Bunu takiben, komut dosyası aynı etki alanından başka bir dosya getirir ve başlangıçta onu “hal” olarak kaydeder ve ardından onu “wer.dll” olarak yeniden adlandırır. Bu stratejik adlandırma kuralı, Patchwork APT grubu tarafından kullanılan DLL yandan yükleme teknikleriyle uyumlu olup, kötü amaçlı DLL’nin gerçek doğasını maskelerken yürütülmesini kolaylaştırır.
Güvenliği ihlal edilmiş ortamda kalıcılığı sağlamak için komut dosyası, meşru WerFaultSecure.exe dosyasını düzenli aralıklarla çalıştıracak şekilde yapılandırılmış “EdgeUpdate” adında zamanlanmış bir görev oluşturur. Bu taktik yalnızca kötü amaçlı yazılımın varlığını güçlendirmekle kalmaz, aynı zamanda tehdidi tanımlama ve etkisiz hale getirme çabalarını da karmaşıklaştırır.
Kötü amaçlı DLL başarıyla yüklendikten sonra, AmsiScanString ve AmsiScanBuffer gibi kritik API işlevlerindeki belirli baytlara yama uygulayarak güvenlik mekanizmalarını atlatmak için titizlikle hazırlanmış gömülü kabuk kodunun şifresini çözer. Bu yaklaşım, kötü amaçlı yazılımın alarmları tetiklemeden çalıştırılmasına olanak tanıyarak Patchwork APT grubunun tespitten kaçma konusundaki ustalığını ortaya koyuyor.
Son yükünü belleğe yükledikten sonra kötü amaçlı yazılım, kurbanın IP adresi, kullanıcı adı ve cihaz ayrıntıları gibi hassas sistem bilgilerini toplamak için çeşitli işlevler kullanır. Bu veriler daha sonra SHA256 karması ve Salsa20 şifreleme algoritmasının bir kombinasyonu kullanılarak şifreleniyor ve bu da grubun şifreleme yöntemlerinde önceki kampanyalara kıyasla bir gelişme olduğunu gösteriyor.
Şifrelenmiş veriler tek bir dize halinde birleştirilir ve sabit kodlanmış bir komut ve kontrol (C&C) sunucusuna, özellikle “buz ve ateş”e iletilir.[.]xyz.” Bu veri sızdırma yöntemi, Patchwork APT grubunun değerli istihbarat toplarken kurbanın ortamında sağlam bir yer edinmesine olanak tanıyor.