Lancefly APT Group, Özel Yazılı Kötü Amaçlı Yazılımlarla Güneydoğu Asya Kuruluşlarını Hedefliyor
Prajeet Nair (@prajeetspeaks) •
16 Mayıs 2023
Bir tehdit aktörü, Güney ve Güneydoğu Asya’da faaliyet gösteren kuruluşları hedeflemek için özel yapım bir arka kapı kullanıyor. Acil risk altındaki sektörler arasında hükümet, havacılık, eğitim ve telekomünikasyon yer alıyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Lancefly ATP grubu, Symantec’in Tehdit Avcısı Ekibindeki araştırmacılar tarafından Merdoor olarak adlandırılan özel olarak yazılmış kötü amaçlı yazılım kullanıyor.
Araştırmacılar, “Önceki kampanyaların arkasındaki motivasyonun istihbarat toplama olduğuna inanılıyor” dedi.
En son kampanyadaki saldırganlar, ek virüsten koruma yazılımını devre dışı bırakabilen ZXShell rootkit’in güncellenmiş bir sürümüne erişebilir.
Merdoor’un işlevselliği, keylogging ve komut ve kontrol sunucusuyla iletişim kurmak için çeşitli yöntemler kullanmayı içerir ve komutlar için yerel bir bağlantı noktasını dinleme yeteneğine sahiptir.
Araştırmacılar, Merdoor arka kapısı örneklerinin, C2 sunucusuyla iletişim yöntemi, hizmet ayrıntıları ve kurulum dizini dışında aynı olduğunu buldu. Arka kapının tipik olarak kodunu meşru Windows işlemlerine çalıştırdığını söylediler. perfhost.exe Ve svchost.exe.
Merdoor damlası aynı zamanda üç dosya içeren kendi kendine açılan bir arşivdir: DLL arama emri kaçırmaya karşı savunmasız olan imzalı bir ikili dosya, Merdoor yükleyici olarak bilinen kötü amaçlı bir yükleyici ve Merdoor arka kapısı olan nihai yükü içeren şifreli bir dosya.
Yürütüldüğünde, damlalık gömülü dosyaları çıkarır ve Merdoor yükleyiciyi yüklemek için geçerli bir ikili dosyayı çalıştırır. Araştırmacılar, damlalığın, DLL yandan yükleme için McAfee SiteAdvisor, Sophos SafeStore Restore, Google Chrome Frame, Avast wsc_proxy ve Norton Identity Safe dahil olmak üzere beş farklı yasal uygulamanın eski sürümlerini kullandığını gördü.
Lancefly tarafından kullanılan ZXShell rootkit, daha önce BlackFly olarak da bilinen APT41 ile ilişkilendirilen “Wemade Entertainment Co. Ltd” sertifikası ile imzalanmıştır.
“APT41 gibi Çinli APT gruplarının genellikle diğer APT gruplarıyla sertifika paylaştığı bilinmektedir. ZXShell arka kapısı daha önce HiddenLynx/APT17 grubu tarafından da kullanılmıştır, ancak ZXShell’in kaynak kodu artık herkese açık olduğundan bu durum geçerli değildir. araştırmacılar, bu iki grup arasında kesin bir bağlantı sağlıyor” dedi.