Palo Alto Networks’ün 42. Birimi tarafından yapılan yeni bir soruşturma, CL-0048.
Kampanya, Güney Asya’daki yüksek değerli kuruluşları, özellikle bir telekomünikasyon şirketini hedefledi.
Nadir taktikler ve araçlar kullanan saldırganlar, IIS, Apache Tomcat ve MSSQL hizmetleri gibi yaygın olarak kullanılan hizmetlerde benzersiz yük dağıtım yöntemlerinden ve sömürülen güvenlik açıklarından yararlandı.
Analistler kampanyayı, taktiklerine, tekniklerine ve mağdurlarına dayanarak Çin kökenli tehdit aktörlerine orta ila yüksek bir güvenle ilişkilendiriyorlar.
Bu operasyon, devlet personeli kayıtları ve organizasyonel sırlar da dahil olmak üzere hassas verilerin çıkarılmasına odaklanırken, gelişmiş gizleme yöntemleri aracılığıyla tespitten kaçınmıştır.
Ünite 42, bu faaliyeti, ulus-devlet düzeyinde sofistike olmasının altını çizerek, gelişmiş kalıcı tehditlerin (APT’ler) şemsiyesi altında sınıflandırır.
Benzersiz yük dağıtım ve eksfiltrasyon teknikleri
Bu kampanyada göze çarpan bir teknik, birim 42’nin “onaltılık evreleme” olarak adlandırdığı şeydir.
Bu yöntem, hedef sistemdeki yürütülebilir koda yeniden yapılandırmadan önce altıgen kodlu parçalara yüklerin verilmesini içerir.
Gibi yerel araçları kullanarak certutil Yükleri çözmek için saldırganlar geleneksel algılama mekanizmalarını tetiklemekten kaçındı.
Onaltılık evreleme, sık sık Çince konuşan tehdit gruplarıyla bağlantılı bir uzaktan erişim Truva atı (sıçan) olan Plugx bileşenleri de dahil olmak üzere bir dizi kötü amaçlı araç dağıtmak için kullanılmıştır.
Saldırganlar ayrıca DNS tünelini içeren alışılmadık bir pesfiltrasyon yöntemi kullandı.
Çalınan verileri DNS sorgularına biçimlendirerek ve bunları kontrollü bir DNS günlük kaydı hizmetine ping istekleri yoluyla göndererek, hassas bilgileri gizlice iletir.
Bu yaklaşım, geleneksel veri eksfiltrasyon izleme araçlarını atladı.
Birden fazla hizmetin ve yükseltme taktiklerinin sömürülmesi
Saldırganlar, IIS, Apache Tomcat ve MSSQL sunucuları içindeki güvenlik açıklarını sırayla hedefleyerek dikkate değer bir uyarlanabilirlik sergiledi.
Web kabukları aracılığıyla IIS Web sunucularını kullanmaya yönelik ilk girişimler Palo Alto Networks ‘Cortex XDR çözümü tarafından engellendi.
Bunu takiben, saldırganlar Apache Tomcat sunucularına döndü ve aynı zamanda engellenen ColdFusion tabanlı bir web kabuğu kurdu.
Sonunda bir MSSQL sunucusu ile başarı elde edildi ve saldırganlara keşif yapmak ve daha fazla yük yürütmek için erişim sağladı.
Ayrıcalıkları artırmak için, tehdit aktörleri sspiuacbypass gibi gelişmiş araçları ve patates süitinin bileşenlerini kullandı.
Bu araçlar, kullanıcı hesabı kontrolünü (UAC) atlamalarına ve yüksek ayrıcalıklarla komutları yürütmelerine izin verdi.
Operasyonun ikinci aşamasında, kontromise sonrası faaliyetler için endüstri tarafından tercih edilen bir araç olan Cobalt Strike Beacons’ın konuşlandırılmasını gördü.
Onaltılık evreleme yöntemini kullanarak, saldırganlar hedeflenen sistemlere kobalt grev yükleyicilerini kurdular, verileri dışarı atmalarını ve ek kötü amaçlı yazılımlar dağıtmalarını sağladı.
Değerli veritabanı kayıtlarını çalmaya dikkate değer bir odaklanma yapıldı.
Saldırganlar yetkisiz ayrıcalıklı veritabanı kullanıcıları oluşturdu ve adlar, cep telefonu numaraları ve kişisel tanımlayıcılar gibi hassas istemci verilerini hasat etmek ve toplamak için kötü amaçlı SQL komut dosyaları yürüttüler.
Çin tehdidi ekosistemlerine olan bağlantı, eklentiler de dahil olmak üzere diğer Çin APT kampanyalarında görülen kalıplarla örtüşen Plugx, Winos4.0 tabanlı kötü amaçlı yazılım ve spesifik komut ve kontrol (C2) IP’leri ve alanlarının kullanımı ile daha da vurgulanmaktadır. Dragonrank olarak bilinen bir gruba.
Bu kampanya, proaktif siber güvenlik savunmalarının kritik gerekliliğinin altını çizmektedir.
Kuruluşlar, yaygın olarak sömürülen hizmetlerde bilinen güvenlik açıklarının yamalanmasına öncelik vermeye ve gizlenmiş yük getirisi ve DNS tabanlı eksfiltrasyon da dahil olmak üzere gelişmiş taktikleri tespit edebilen güçlü izleme araçları kullanmaya çağırılır.
Belirlenen kampanya, hassas organizasyonları hedefleyen ulus devlet aktörlerinin yarattığı sürekli tehdidi yeniden teyit ediyor.
Uyanık BT hijyeni, rutin güvenlik açığı değerlendirmeleri ve gelişmiş siber güvenlik çözümlerinden yararlanmak, bu tür ileri saldırıları azaltmak için çok önemlidir.
SOC/DFIR ekiplerinden misiniz? -kötü amaçlı yazılım dosyalarını ve bağlantılarını herhangi biriyle analiz edin. Run Sandox -> Ücretsiz dene