Bir dizi Asya ülkesindeki hükümet ve devlete ait kuruluşlar, 2021’in başından beri devam etmekte olan bir istihbarat toplama görevinin parçası olarak farklı bir grup casus bilgisayar korsanı tarafından hedef alındı.
Broadcom Software’in bir parçası olan Symantec Threat Hunter ekibi, “Bu saldırıların dikkate değer bir özelliği, saldırganların kötü amaçlı yazılım yüklerini DLL yandan yükleme olarak bilinen bir teknik kullanarak yüklemek için çok çeşitli meşru yazılım paketlerinden yararlanmasıdır.” The Hacker News ile paylaşılan bir rapor.
Kampanyanın yalnızca finans, havacılık ve savunma ile ilgili devlet kurumlarının yanı sıra devlete ait medya, BT ve telekom şirketlerine yönelik olduğu söyleniyor.
Dinamik bağlantı kitaplığı (DLL) yandan yükleme, Microsoft Windows uygulamalarının DLL dosyalarını işleme biçiminden yararlanan popüler bir siber saldırı yöntemidir. Bu izinsiz girişlerde, işletim sisteminin meşru dosya yerine onu yüklemesi için Windows Yan Yana (WinSxS) dizinine sahte bir kötü amaçlı DLL yerleştirilir.
Saldırılar, DLL yan yüklemesi için hafifletmelerden yoksun olması gereken güvenlik çözümlerinin, grafik yazılımlarının ve web tarayıcılarının eski ve güncel olmayan sürümlerinin kullanılmasını ve bunları ek yükleri yürütmek üzere tasarlanmış isteğe bağlı kabuk kodunu yüklemek için bir kanal olarak kullanmayı gerektirir.
Ayrıca, yazılım paketleri, kimlik bilgisi hırsızlığını ve güvenliği ihlal edilmiş ağ boyunca yanal hareketi kolaylaştıracak araçlar sağlama aracı olarak da ikiye katlanır.
“[The threat actor] Araştırmacılar, daha sonra ağlardaki diğer bilgisayarlara DLL yan yükleme yoluyla kullanıma hazır uzaktan erişim Truva Atları (RATS) gibi ek kötü amaçlı yazılım araçlarını yüklemek için kullanılan meşru yazılımın eski sürümlerini çalıştırmak için PsExec’ten yararlandı.”
Asya’da eğitim sektöründeki devlete ait bir kuruluşa yönelik saldırılardan birinde, Nisan’dan Temmuz 2022’ye kadar sürdü ve bu sırada saldırgan, etki alanı denetleyicisine erişmeden önce veritabanlarını ve e-postaları barındıran makinelere erişti.
İzinsiz giriş ayrıca, LadonGo adlı açık kaynaklı bir Golang penetrasyon testi çerçevesi olan Mimikatz’ın (“calc.exe”) yeniden adlandırılmış bir sürümünü başlatmak için Bitdefender Crash Handler’ın (“javac.exe”) 11 yıllık bir sürümünü kullandı ve birden çok ana bilgisayarda diğer özel yükler.
Bunlardan biri, daha önce belgelenmemiş, tuş vuruşlarını günlüğe kaydetme, ekran görüntüleri yakalama, SQL veritabanlarına bağlanma ve sorgulama, dosya indirme ve pano verilerini çalma yeteneğine sahip, zengin özelliklere sahip bir bilgi hırsızıdır.
Ayrıca saldırıda, ProxyLogon Microsoft Exchange Server güvenlik açıklarından yararlanarak yararlanma girişimlerini gerçekleştirmek için Fscan adlı genel kullanıma açık bir intranet tarama aracı da kullanılır.
Tehdit grubunun kimliği belirsiz olsa da, ShadowPad’i önceki kampanyalarda kullandığı söylense de, PlugX’in (aka Korplug) halefi olarak tasarlanan ve birçok Çinli tehdit aktörü arasında paylaşılan modüler bir arka kapı.
Symantec, tehdit aktörünün PlugX kötü amaçlı yazılımını içeren önceki saldırılarını APT41 (aka Wicked Panda) ve Mustang Panda gibi diğer Çinli bilgisayar korsanlığı gruplarına bağlayan sınırlı kanıta sahip olduğunu söyledi. Dahası, APT41’e atfedilen önceki saldırılarda kabuk kodunu yandan yüklemek için meşru bir Bitdefender dosyasının kullanıldığı gözlemlendi.
Araştırmacılar, “DLL’nin yandan yüklenmesini kolaylaştırmak için meşru uygulamaların kullanılması, bölgede faaliyet gösteren casusluk aktörleri arasında büyüyen bir eğilim gibi görünüyor” dedi. “İyi bilinen bir teknik olmasına rağmen, mevcut popülaritesi göz önüne alındığında saldırganlar için bir miktar başarı sağlıyor olmalı.”