Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Çin Bağlantılı Casusluk Grubu Tespitten Kaçmak İçin Özel Yükleyiciler Kullandı
Jayant Chakravarti (@JayJay_Tech) •
13 Ekim 2023
Güvenlik araştırmacıları, çeşitli Asya ülkelerindeki telekomünikasyon şirketlerine ve hükümet bakanlıklarına yönelik hedefli siber saldırı dalgasını, ToddyCat adlı Çinli ileri düzey kalıcı tehdit grubuna bağladı.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Siber güvenlik şirketi Kaspersky’deki araştırmacılara göre Çin merkezli siber casusluk grubu, 2022’nin sonlarından bu yana Asya’daki siber casusluk operasyonlarını genişletiyor ve tespit edilmekten kaçınmak ve saldırı tekniklerini iyileştirmek için yeni nesil yükleyiciler, özelleştirilmiş değişkenler ve yasal yazılımlar kullanıyor.
Kaspersky’nin baş güvenlik araştırmacısı Giampaolo Dedola, “ToddyCat sadece sistemlere sızmakla kalmıyor; uzun bir süre boyunca değerli bilgiler toplamak için uzun vadeli operasyonlar kuruyor ve bir yandan da tespit edilmemek için yeni koşullara uyum sağlıyor” dedi.
ToddyCat, Tayvan, Vietnam ve diğer ülkelerdeki hükümet ve askeri sektörlerdeki yüksek profilli kuruluşları hedeflemek için Microsoft Exchange sunucularındaki ProxyLogon güvenlik açığından ilk kez 2020 sonlarında yararlandı. Grup 2022 yılında İran, Rusya, Birleşik Krallık ve Hindistan’daki kuruluşları hedeflemek için Samuray arka kapısını kullanmaya başladı.
Kaspersky Perşembe günü yaptığı açıklamada, ToddyCat’in hedeflenen ağlarda kalıcılık sağlamak, keşif yapmak ve imza tabanlı tespitten kaçınmak için standart yükleyicilerinin birçok benzersiz çeşidini ve çeşitli yasal araçları kullandığını söyledi.
APT grubu, birincil araçları olan Ninja Truva Atı ve Samurai Arka Kapısını dağıtmak için yükleyicileri kullandı. Ninja konuşlandırıldıktan sonra süreçleri yönetebilir, dosya sistemini kontrol edebilir, kod enjekte edebilir ve ağ trafiğini bir komut ve kontrol sunucusuna iletebilir. Pasif bir arka kapı olan Samurai, ToddyCat’in rastgele kod yürütmesine, bir sistemi uzaktan kontrol etmesine ve bir ağ içinde yatay olarak hareket etmesine olanak tanır.
Araştırmacılar ayrıca ToddyCat’in belirli dosyaları bulmak için LoFiSe dağıtımı, kalıcılık sağlamak için Pasif UDP Arka Kapısı, veri yüklemeleri için bir DropBox Yükleyici ve tanınmış sızma testi aracı CobaltStrike dahil olmak üzere saldırı tekniğini geliştirmek için meşru bir yazılım kullandığını gözlemledi.
Tehdit istihbaratı şirketi Check Point Çarşamba günü ToddyCat’i başta Kazakistan, Özbekistan, Pakistan ve Vietnam olmak üzere telekomünikasyon şirketlerini ve devlet kuruluşlarını hedef alan bir dizi siber casusluk saldırısından sorumlu tuttu.
Check Point ayrıca ToddyCat’in, bilinen herhangi bir aktör tarafından oluşturulan ürünlerle net kod çakışması olmayan birden fazla benzersiz yükleyici ve indirici kullandığını da belirtti. Bu kötü amaçlı yazılımın çeşitli işlevleri gerçekleştirebilmesi, APT grubunun bunları tek kullanımlık olarak değerlendirdiğini ve yalnızca ilk erişim elde etmek ve kötü amaçlı bir veriyi yürütmek için kullandığını gösteriyor.
ToddyCat’in Check Point tarafından “Stayin’ Alive” olarak adlandırılan siber casusluk kampanyası, DLL yan yükleme tekniklerini kullanarak arşiv dosyalarını teslim etmek için hedef odaklı kimlik avı e-postaları kullandı. Check Point tarafından analiz edilen hedef odaklı kimlik avı e-postası, yasal olarak imzalanmış bir mDNSResponder.exe dosyasını ve dal_keepalives.dll adlı yandan yüklenen DLL dosyasını içeriyordu.
Yandan yüklenen DLL, kendisini %APPDATA% klasörüne kopyalayan ve yükün bir sonraki yürütülmesi için kalıcılığı korumak üzere bir ortam değişkeni ayarlayan CurKeep adlı bir arka kapı yükledi. Casusluk grubu, belirli işlevleri yerine getiren diğer birçok arka kapı çeşidini indirmek ve çalıştırmak için çeşitli yükleyiciler kullandı.
Check Point ekibi, “Bu kampanyada gözlemlendiği gibi, tek kullanımlık yükleyicilerin ve indiricilerin kullanımı, deneyimli aktörler arasında bile daha yaygın hale geliyor” dedi. “Tek kullanımlık araçların kullanımı, sıklıkla değiştirildikleri ve muhtemelen sıfırdan yazıldıkları için hem tespit hem de ilişkilendirme çabalarını daha da zorlaştırıyor. Bu, yüksek profilli kuruluşların çok basit arka kapılarla hedef alındığı Stayin’ Alive kampanyasında açıkça görülüyor.”