Yakın zamanda keşfedilen ‘Solmayan Deniz Haze’ adlı bir siber tehdit aktörü, 2018’den bu yana Güney Çin Denizi bölgesindeki kuruluşları hedef alıyor.
Tehdit aktörü grubu, çok sayıda yüksek profilli askeri ve devlet kurumuna yönelik saldırılarına rağmen beş yılı aşkın süredir tespit edilemedi. Araştırmacılar, operasyonlarının Çin’in bölgedeki jeopolitik çıkarlarıyla uyumlu olduğunu gözlemledi.
Solmayan Deniz Milletleri Muhtemelen Çin Hükümetine Bağlıdır
Bitdefender araştırmacıları, grubun TTP’lerinin (taktikleri, teknikleri ve prosedürleri) ve araç setinin, APT41 (BARIUM) gibi Çin devleti destekli diğer tehdit aktörlerininkiyle örtüştüğünü keşfetti.
Unfading Sea Haze, genellikle zararsız görünen belgelerin içinde gizlenmiş kötü amaçlı LNK dosyalarını taşıyan hedef odaklı kimlik avı e-postalarıyla başlayan çok aşamalı bir saldırı zinciri kullanıyor.
Bu LNK dosyaları tıklatıldığında, uzun ve karmaşık bir PowerShell komutu, bir ESET yürütülebilir dosyasının (ekrn.exe) varlığını kontrol eder. Bulunursa saldırı durdurulur; aksi takdirde PowerShell betiği, Microsoft’un meşru msbuild.exe komut satırı derleyicisini kullanarak kötü amaçlı yazılımları doğrudan Windows belleğine derler.
Saldırganlar, kötü amaçlı DLL’leri dışarıdan yüklemek ve kalıcılığı korumak için devre dışı bırakılan varsayılan yönetici hesabını değiştirmek için zamanlanmış görevleri kullanır. Yerel yönetici hesabının şifresini sıfırlar, etkinleştirir ve Kayıt Defteri değişiklikleri yoluyla giriş ekranından gizlerler. Bu adım, tehdit aktörlerine daha sonraki saldırılar için gizli bir yönetici hesabı sağlar.
Erişim sağlandıktan sonra, Unfading Sea Haze, tarayıcı veritabanlarından bilgi çıkarmak için çeşitli PowerShell komut dosyalarının yanı sıra, Chrome, Firefox veya Edge tarayıcılarında depolanan verileri hedeflemek için bir tarayıcı veri hırsızı olan tuş vuruşlarını yakalamak için ‘xkeylog’ adlı özel bir keylogger’ı kullanır.
Unfading Sea Haze’in kampanyası, özel geliştirilmiş kötü amaçlı yazılımlardan ve kamuya açık araçlardan oluşan geniş bir cephanelik kullanıyor. Grubun ilk kampanyaları, kimlik bilgileri hırsızlığı için xkeylog keylogger ve uzaktan kod yürütmeye yönelik bir web kabuğu alternatifi olan SharpJSHandler gibi araçların kullanımını içeriyordu.
Grup daha sonra SilentGh0st, TranslucentGh0st dahil Gh0st RAT kötü amaçlı yazılım ailesinin yinelemeleri ve FluffyGh0st, InsidiousGh0st ve EtherealGh0st gibi daha yeni, daha modüler varyantlar gibi daha gizli seçeneklerin kullanımına yöneldi. Bu son değişim, araç setlerini maksimum etkililik ve sakınma için uyarlama konusunda devam eden bir çabayı gösteriyor.
Unfading Sea Haze, güvenliği ihlal edilmiş ağlarda bir dayanak oluşturmak için saldırı zincirinde Itarian RMM gibi ticari Uzaktan İzleme ve Yönetim (RMM) araçlarını da kullanıyor.
Unfading Haze, APT41 ile Benzerlikleri Paylaşıyor
Endişeyi artıran soruşturma, Unfading Sea Haze’in önceden güvenliği ihlal edilmiş sistemlere yeniden erişim sağlama konusunda tekrarlanan başarısını ortaya çıkardı. Bu ısrar, genellikle kötü niyetli aktörler tarafından istismar edilen kritik bir güvenlik açığına işaret ediyor: zayıf kimlik bilgileri hijyeni ve hedeflenen kuruluşlardaki yetersiz yama uygulamaları.
Araştırmacılar, Unfading Sea Haze grubu tarafından çeşitli Gh0st RAT varyantlarının kullanılmasının, devlet destekli aktörler arasında kapalı kaynaklı RAT’ların ve araçların paylaşımının yaygın olduğu Çin tehdit aktörü ekosistemiyle yakın bir bağlantıya işaret edebileceğini öne sürüyor.
Kampanyanın komut dosyasını yürütmek için SharpJSHandler modülünü entegre etmesi, APT41’in kampanyalarında sıklıkla kullandığı komik anahtar arka kapısında bulunan çağırma komutuyla benzerlikler taşıyor.
Hem SharpJSHandler hem de Funnyswitch .NET derlemelerini yükler ve JScript kodunu çalıştırır. Ancak, komik anahtar SharpJSHandler’da bulunmayan ek özellikler içerdiğinden bu benzerlikler sınırlıdır. Soruşturma sırasında APT41’in takımlarıyla başka hiçbir örtüşme keşfedilmedi.
Araştırmacılar Önerilerini Paylaşıyor
Araştırmacılar, Unfading Sea Haze grubunun, ek esneklik ve kaçamaklık için özel bir kötü amaçlı yazılım cephaneliği kullanarak saldırılarında yüksek düzeyde gelişmişlik sergilediğini belirtiyor. Modülerliğe, dinamik öğelere ve bellek içi yürütmeye doğru geçiş, grubun geleneksel güvenlik önlemlerini aşmak için sürekli çaba gösterdiğini gösteriyor.
Saldırganlar taktiklerini ısrarla uyarlarken, araştırmacılar olası kurbanlar için kapsamlı ve katmanlı bir güvenlik yaklaşımı önerdi. Bu, güvenlik açığı yönetimine öncelik verilmesini, güçlü kimlik doğrulama tekniklerinin uygulanmasını, ağ bölümlendirmesini, trafik izlemeyi ve etkili günlük kaydını içerir.
Araştırmacılar ayrıca kampanyayla ilgili ilişkili IP adresleri, kullanılan alanlar, MD5 dosya karmaları ve depolama dosyası yolları gibi IOC (Uzlaşma Göstergesi) bilgilerini de paylaştı. Ayrıca araştırmacılar, Gh0st RAT ailesine ve diğer kötü amaçlı yazılım örneklerine derinlemesine bir bakış sunan tam bir rapora bağlantı verdiler.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.