2024’ün ortalarında, siber güvenlik uzmanları dünya çapında hükümet, savunma ve teknoloji kuruluşlarına karşı hedeflenen müdahalelerin artmasını gözlemlemeye başladılar.
Bu olaylar daha önce vaftiz edilen daha önce karakterize edilmemiş bir tehdit grubuyla ilişkilendirildi Rednovegizli bir GO tabanlı arka kapı dağıtmak için açık kaynak ve emtia araçlarından yararlanır.
İlk uzlaşmalar genellikle, VPN aletleri, yük dengeleyicileri ve webmail portalları da dahil olmak üzere internete bakan cihazların kullanılmasından kaynaklandı-kamuya açık kavram kanıtı kullanımı.
Sonraki sömürü sonrası faaliyetler, genellikle Pantegana komuta ve kontrol (C2) çerçevesinin kobalt grev ve kıvılcım varyantlarının yanı sıra, operatörlerin uzun vadeli erişimi sürdürmesini ve casusluk faaliyetlerini tespit etmesini sağlayabilmesini sağlar.
Kaydedilen gelecek analistler, Ivanti’yi hedefleyen bir Temmuz 2025 keşif dalgasının ardından Rednovember’in etkinliğini belirledi.
Bu kampanya sırasında operatörler düzinelerce devlet bakanlıkını ve özel sektör kuruluşlarını taradılar, daha sonra meşru bir yazılım güncellemesi olarak maskelenen kötü niyetli bir Go yükleyici sundu.
Mağdurlar, Güneydoğu Asya’daki Dışişleri Müdürlükleri’nden ABD’deki savunma müteahhitlerine kadar uzanıyordu ve grubun yüksek değerli hedeflere stratejik odaklanmasının altını çizdi.
Palo Alto GlobalProtect için CVE-2024-3400 ve CVE-2024-24919 için CVE-2024-3400 gibi kolayca kullanılabilir istismarların kullanılması, Rednovember’in ısmarlama kötü amaçlı yazılım geliştirme üzerindeki hızlı, yüksek hacimli başlangıç erişimi tercihini örneklendirir.
Gözlemciler, grubun operasyonlarının jeopolitik olayların ardından hızlandığını belirtti.
Örneğin, Tayvanlı araştırma tesislerine karşı keşif, Tayvan Boğazı’ndaki Çin askeri alıştırmalarıyla çakıştı ve kapsamlı Panama Hükümeti hedeflemesi üst düzey ABD diplomatik ziyaretleri izledi.
.webp)
Rednover faaliyeti ile diplomatik veya askeri hareketler arasındaki korelasyon, devlet destekli bir istihbarat güdüsünü göstermektedir ve grup, ilişkilendirmeyi gizlemek ve operasyonel maliyetleri azaltmak için açık kaynaklı araçlardan yararlanmaktadır.
Bu taktik, rakipler kapsamlı bir geliştirme yükü olmadan yeni yayınlanan kavram kanıtı kodunu hızla silahlandırabildiğinden, yaygın sömürü riskini büyütür.
Enfeksiyon mekanizması
Rednovember’in araç setinin kritik bir bileşeni Leslieloaderbellekte yürütmeden önce yükünü doğrulayan ve şifresini çözen GO tabanlı bir yükleyici.
Yükleyici, bir PDF lure belgesi içeren mızrak aktı e-postaları aracılığıyla dağıtılır. Yürütme üzerine Leslieloader, Spack Farfrat veya Cobalt Strike Beacon modüllerini açmak için bir AES şifre çözme rutini gerçekleştirir.
Kaydedilen Future’ın Ek D’sinden basitleştirilmiş bir Yara kuralı bu şifre çözme davranışını göstermektedir:-
rule MALLESLIELOADER {
meta:
author = "Insikt Group, Recorded Future"
description = "Detects LESLIELOADER Malware used by RedNovember"
strings:
$s1 = ".DecrptogAES"
$s2 = ".UnPaddingText1"
condition:
uint16(0) == 0x4D5A and all of ($s*)
}Dağıtım yapıldıktan sonra, yükleyici sert kodlanmış bir etki alanına temas eder (örn., download.offiec.us.kg) HTTP üzerinden, şifrelenmiş yükü alır ve geçici bir dizine bırakır.
İkili içine yerleştirilmiş AES tuşları, yükü doğrudan belleğe çözer, disk yazılarını atlar ve geleneksel antivirüs motorlarından kaçar.
Yük uygulamasının ardından arka kapı HKCU\Software\Microsoft\Windows\CurrentVersion\Run ve Adli Denetim’i engellemek için olay günlüğü özelliklerini devre dışı bırakma.
Bu bellek içi yürütme, şifreli yük dağıtımının ve log manipülasyonunun bu kombinasyonu, Rednovember’in gizli dayanakları uzun süreler boyunca korumasını, operatörlere hassas verileri püskürtme ve minimal algılama riski ile yanal hareket gerçekleştirme yeteneği vermesini sağlar.
Bu taktiklerin sofistike olmasına rağmen, savunucular bilinen C2 alanlarını izleyerek, çevre cihazlarında katı yama yönetimini uygulayarak ve bellek içi yükleyicileri tanımlayabilen davranış tabanlı algılama kullanarak Rednovember’in operasyonlarını bozabilir.
Dışa bakan cihazlarda sürekli ağ segmentasyonu ve artan görünürlük, bu kalıcı tehdidi azaltmak için çok önemlidir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
