Araştırmacılar, sürekli siber saldırılarıyla ünlü, gelişmiş bir kalıcı tehdit örgütü olan Poison Ivy grubu olarak da bilinen APT-C-01’in yeniden dirilişini ortaya çıkardı.
Bu grup, 2007’den bu yana aktif olarak savunma, hükümet, teknoloji ve eğitim gibi sektörleri hedef alıyor ve sulama deliği kimlik avı ve hedef odaklı kimlik avı gibi gelişmiş kimlik avı tekniklerini kullanıyor.
Son zamanlardaki tehdit avcılığı faaliyetleri Poison Ivy’nin operasyonlarında bir artış olduğunu ortaya çıkardı. Müfettişler, grubun ikna edici kimlik avı sayfaları oluşturmak için resmi web sitelerini taklit ettiğini keşfetti.
Kurbanlar bu siteleri ziyaret ettiklerinde, Şerit Uzaktan Erişim Truva Atı’nı (RAT) dağıtmak için tasarlanmış kötü amaçlı yüklerin otomatik olarak indirilmesini bilmeden tetikliyorlar.
Bu kötü amaçlı yazılım, yetkisiz erişimi kolaylaştırarak saldırganların hassas bilgileri çalmasına ve uzaktan işlemler gerçekleştirmesine olanak tanır.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Saldırı Analizi
Poison Ivy’nin çalışma şekli meşru web sitelerinin neredeyse aynı kopyalarını oluşturmayı içerir. Bu sahte sitelere erişildiğinde hedef, şüpheyi önlemek için otomatik olarak PDF simgesiyle gizlenmiş kötü amaçlı bir yükleyici indirir.
Bu yükleyici, belirli bir AES anahtarı ve başlatma vektörüyle birlikte bir başlangıç URL’sinin şifresini çözmek üzere yapılandırılmış, oldukça karmaşık bir .NET derlenmiş Taşınabilir Yürütülebilir (PE) dosyasıdır.
Daha sonra son Sliver RAT bileşenini yükleyen kabuk kodunu indirir, şifresini çözer ve çalıştırır.
Güvenlik analistleri bu yükleyicinin birkaç örneğini izole edip inceledi. “Auto-download.zip” olarak gizlenen dikkate değer bir örnek, 119,50 KB boyutundadır ve 61c42751f6bb4efafec524be23055fba MD5 karmasına sahiptir.
Yürütülmesinin ardından bu dosya, kabuk koduna gömülü özel olarak şifrelenmiş bir yükün şifresini çözer ve sonuçta Sliver RAT’ı belleğe yükler.
Sliver, Golang’da yazılmış, Windows, Linux ve macOS’ta çalışabilen açık kaynaklı, platformlar arası bir komuta ve kontrol (C2) çerçevesidir.
Özellikleri arasında dosya manipülasyonu, süreç işlemleri, ayrıcalık yükseltme, süreç enjeksiyonu, yanal hareket, uzaktan kabuk yürütme ve tespitten kaçınmak için işlev adlarının gizlenmesi yer alır.
APT-C-01’in ısrarı ve yanıltıcı kimlik avı stratejilerini ustalıkla kullanması, siber güvenlik farkındalığının arttırılmasının öneminin altını çiziyor.
Kuruluşların ve bireylerin, hassas bilgilerin olası ihlallerini önlemek için, tanıdık olmayan bağlantılar ve e-posta ekleri konusunda dikkatli olmaları tavsiye edilir.
Güçlü güvenlik uygulamalarını sürdürmek, bu tür karmaşık siber tehditlere karşı savunma yapmak için çok önemlidir.
Analyse Advanced Malware & Phishing Analysis With ANY.RUN Black Friday Deals : Get up to 3 Free Licenses.
SOC/DFIR Ekipleri için Uzlaşma Göstergeleri
D5:
- 61c42751f6bb4efafec524be23055fba
- 3bd15b16a9595d20c0e185ab1fae738f
- 7f0dba2db8c3fdd717d83bb693b3ade9
- 88e306f4d6a33703316e794a9210f528
- 3a74ed8d1163d1dbc516410d1b8081fa
C2:
- 165.22.97[.]48
- 158.247.208[.]174
- 128.199.134[.]3
caac-cn[.]kuruluş
caac-cn[.]iletişim