Bulunması zor, Hindistan merkezli gelişmiş kalıcı tehdit (APT) grubu Yan Sarıcı Asya, Orta Doğu, Afrika ve hatta Avrupa’daki birçok ülkeyi kapsayan yüksek profilli kuruluşlara ve stratejik altyapı hedeflerine yönelik yeni bir saldırı dalgası başlattı ve coğrafi erişiminin genişlediğinin sinyalini verdi. Araştırmacılar, saldırıların aynı zamanda grubun siber casusluk faaliyetlerini ilerletmek için “StealerBot” adlı gelişmiş bir sömürü sonrası araç seti kullandığını da gösterdiğini ortaya çıkardı.
2012’den bu yana faaliyet gösteren, 2018’de kamuoyuna duyurulan ve esas olarak Pakistan, Afganistan, Çin ve Nepal’deki rakiplerine saldırmasıyla tanınan devlet destekli grup, son altı ayda coğrafi kapsamının genişlediğini gösterdi. Kaspersky’deki araştırmacılar tarafından gözlemlenen ve şu şekilde özetlenen en son saldırılar: SecureList blogunda bir gönderiilk kez SideWinder’ın, araştırmacıların yıllarca süren çalışmalarına rağmen büyük ölçüde bilinmeyen bazı uzlaşma sonrası etkinliklerini ortaya çıkardı.
Özellikle, SideWinder son zamanlarda hedef aldı Saldırılarda Bangladeş, Cibuti, Ürdün, Malezya, Maldivler, Myanmar, Nepal, Pakistan, Suudi Arabistan, Sri Lanka, Türkiye ve Birleşik Arap Emirlikleri’ndeki kuruluşlar yer alıyor. Etkilenen sektörler çeşitlidir ve şunları içerir: hükümet ve askeri kuruluşlar, lojistik, altyapı ve telekomünikasyon şirketleri, finansal kurumlar, üniversiteler ve petrol ticareti şirketleri. Saldırganlar ayrıca Afganistan, Fransa, Çin, Hindistan, Endonezya ve Fas’taki diplomatik kurumları da hedef aldı.
StealerBot’a gelince, araştırmacılar, SideWinder tarafından kullanılan ana saldırı sonrası araç olduğuna inandıkları kötü amaçlı yazılımı “casusluk faaliyetleri için özel olarak tasarlanmış gelişmiş bir modüler implant” olarak tanımladılar.
SideWinder’ın Tipik Siber Saldırı Zinciri
Coğrafya ve sömürü sonrası taktikler farklılık gösterse de, SideWinder kullanılmış son saldırı dalgasının tipik saldırı zinciri. Grup, genellikle bir Microsoft OOXML belgesi (ör. .docx veya .xlsx) veya kötü amaçlı bir .lnk dosyası içeren bir .zip arşivi olan bir ek içeren hedef odaklı kimlik avı e-postasıyla başladı. Bu dosya, çeşitli JavaScript ve .NET indiricileriyle çok aşamalı bir enfeksiyon zincirini tetikler ve bu zincir, daha fazla etkinlik için StealerBot casusluk aracının yüklenmesiyle sonuçlanır.
Kaspersky’nin önde gelen güvenlik araştırmacıları Giampaolo Dedola ve Vasily Berdnikov, kampanyanın hedef odaklı kimlik avı bölümünde kullanılan belgelerin genellikle halka açık web sitelerinden elde edilen bilgileri içerdiğini ve “kurbanı dosyayı açmaya ve meşru olduğuna inandırmaya ikna etmek için kullanıldığını” yazdı. yazıda. Bu durumda, bazı e-posta tuzakları halka açık fotoğraflar, görseller ve amaçlanan hedefin ilgisini çekebilecek diplomatik ve diğer faaliyetlere ilişkin referanslar içeriyordu.
Saldırılardaki tüm belgeler, saldırganlar tarafından kontrol edilen uzak bir sunucuda depolanan bir .rtf dosyasını indirmek için uzaktan şablon enjeksiyon tekniğini kullanıyor. Bu dosyalar, istismar edilmek üzere özel olarak hazırlanmıştır. CVE-2017-11882Araştırmacılar, Microsoft Office yazılımındaki 7 yıllık bir bellek bozulması güvenlik açığı olan . Kötü amaçlı yazılımın nihai amacı, virüslü sistemlerden verileri çıkarmak ve siber casusluk yapmaktır.
Yeni StealerBot Modüler Kötü Amaçlı Yazılım
Saldırganın adını verdiği StealerBot, casusluk faaliyetlerini gerçekleştirmek için .NET ile geliştirilmiş modüler bir implanttır. Araştırmacılar tarafından gözlemlenen saldırı zinciri, tipik olarak kötü amaçlı yazılımın bileşenlerini virüslü makinenin dosya sistemine yüklemek yerine, bunları kötü amaçlı yazılımın çok sayıda modülünden biri tarafından belleğe yüklüyor; bu durumda bu modül, saldırganların arka kapı yükleyicisi olarak görev yapıyor. “ModülYükleyici” olarak adlandırıldı.
Bu modül, SideWinder’ın ele geçirilen makinelerde tutunma noktası sağlamak için kullandığı Truva atını dağıtan bir indiricidir. Araştırmacılar, bunun daha önce grup tarafından kullanılan ve Kaspersky tarafından gözlemlenen, ancak şu ana kadar kamuya açıklanmayan bir araç olduğunu belirtti.
Saldırganlar, ModuleInstaller’ı en az dört dosyayı bırakacak şekilde tasarladı: kötü amaçlı bir kitaplığı dışarıdan yüklemek için kullanılan meşru ve imzalı bir uygulama; kaynak olarak programa yerleştirilmiş ve bir sonraki aşamada ek modüllerin düzgün şekilde yüklenmesi için gerekli olan bir .config bildirimi; kötü amaçlı bir kütüphane; ve şifrelenmiş bir yük. Araştırmacılar, “Bırakılan dosyaların çeşitli kombinasyonlarını gözlemledik” dedi.
“Orkestratör” adı verilen başka bir modül, kötü amaçlı yazılımın SideWinder komut ve kontrol (C2) ile iletişim kuran ve diğer kötü amaçlı yazılım eklentilerini çalıştırıp yöneten ana bileşenidir. Toplamda, StealerBot aşağıdakiler için çeşitli modüller içerir: ek kötü amaçlı yazılım yüklemek, ekran görüntüleri yakalamak, tuş vuruşlarını günlüğe kaydetmek, tarayıcılardan şifreleri çalmak, dosyaları çalmak, Windows kimlik avı yapmak ve ayrıcalıkları yükseltmek kullanıcı hesabı kontrolünü (UAC) atlamakdiğer etkinliklerin yanı sıra.
Büyük Ölçüde Hafife Alınan Saldırganlar
Yan Sarıcı Long, kullanımı nedeniyle düşük vasıflı bir tehdit grubu olarak algılanıyor. kamu istismarları Kaspersky’ye göre uzaktan erişim Truva atları (RAT’lar) ve kötü amaçlı .lnk dosyaları ve komut dosyaları enfeksiyon vektörleri olarak görülüyor. Ancak araştırmacılar, “gerçek yetenekleri ancak operasyonlarının ayrıntılarını dikkatlice incelediğinizde ortaya çıkacağından”, savunucular tarafından hafife alınmamaları gerektiğini yazdı.
Yeni saldırı dalgası “grubun faaliyetlerinde önemli bir genişleme” gösterdiğinden, hedef alınabilecek kişilerin tetikte olması ve grubun oluşturduğu tehdidin farkında olması gerektiğini söylediler.
Savunmacıların ağlarında SideWinder ve aracı StealerBot’un varlığını fark etmelerine yardımcı olmak için araştırmacılar, gönderilerine saldırının çeşitli aşamalarına ilişkin kapsamlı bir risk göstergeleri (IoC) listesi eklediler.
IoC’ler, kötü amaçlı belgelere, .rtf ve .lnk dosyalarına ve ayrıca StealerBot’un çeşitli modüllerine yönelik belirli IoC’lere referanslar içerir. Gönderide saldırılarla ilişkili kötü amaçlı alan adlarının ve IP’lerin uzun bir listesi de yer alıyor.