Olarak bilinen bir Çin-nexus tehdit oyuncusu UNC6384 Pekin’in stratejik çıkarlarını ilerletmek için Güneydoğu Asya ve dünyadaki diğer varlıklardaki diplomatları hedefleyen bir dizi saldırıya atfedildi.
Google Tehdit İstihbarat Grubu (GTIG) araştırmacısı Patrick Whitsell, “Bu çok aşamalı saldırı zinciri, geçerli kod imzalama sertifikaları, ortada bir düşman (AITM) saldırısı ve algılamadan kaçınmak için dolaylı yürütme teknikleri de dahil olmak üzere gelişmiş sosyal mühendislikten yararlanıyor.” Dedi.
UNC6384, taktik ve takım örtüşmelerini, havza, bronz cumhurbaşkanı, Camaro Dragon, Earth Preta, Honeymyte, Reddelta, Red Lich, görkemli Boğa, temp.hex ve dükkân typhoon olarak izleyen bilinen bir Çin hackleme grubuyla paylaşmak için değerlendirildi.
Mart 2025’te GTIG tarafından tespit edilen kampanya, web trafiğini ele geçirmek ve StaticPlugin adlı dijital olarak imzalanmış bir indirici sunmak için esir bir portal yönlendirmesi kullanılarak karakterize edilmektedir. İndirici daha sonra sogu.sec adı verilen bir Plugx (diğer adıyla Korplug veya Sogu) varyantının bellek içi konuşlandırılmasının yolunu açar.
Plugx, dosyaları dışarı atma, tuş vuruşlarını günlüğe kaydetme, bir uzak komut kabuğu başlatma, dosyaları yükleme/indirme dosyaları için komutları destekleyen ve işlevselliğini ek eklentilerle genişletebilen bir arka kapıdır. Genellikle DLL yan yükleme yoluyla başlatılan implant, USB flash sürücüler, kötü amaçlı ekler veya bağlantılar içeren hedefli kimlik avı e-postaları veya tehlikeye atılan yazılım indirmeleri aracılığıyla yayılır.
Kötü amaçlı yazılım en az 2008’den beri var ve Çin hackleme grupları tarafından yaygın olarak kullanılmaktadır. Shadowpad’in Plugx’un halefi olduğuna inanılıyor.
UNC6384 saldırı zinciri, ortadaki düşman (AITM) ve Sosyal Mühendislik taktiklerinin Plugx kötü amaçlı yazılımları sunmak için kullanıldığı konusunda oldukça basittir-
- İnternet bağlantısı esir bir portalın arkasındaysa, hedefin web tarayıcısı test eder
- Bir AITM, tarayıcıyı tehdit aktör kontrollü bir web sitesine yönlendirir
- StaticPlugin “MediaLeleaseupdates’den indirildi[.]com “
- StaticPlugin aynı web sitesinden bir MSI paketi alır
- Canonstager DLL yandan yüklüdür ve bellekte sogu.sec backdoorunu dağıtır
Esir portal kaçırma, hedeflenen varlıklara Adobe eklentisi güncellemesi olarak masquerading yapmak için kullanılır. Chrome tarayıcısında, esir portal işlevselliği, sabit kodlu bir URL’ye (“www.gstatic[.]com/genate_204 “) kullanıcıları bir Wi-Fi oturum açma sayfasına yönlendiren.
“Gstatic[.]com “JavaScript kodunu, görüntüleri ve stil sayfalarını performansı artırmanın bir yolu olarak depolamak için kullanılan meşru bir Google alanıdır, Google, tehdit aktörlerinin büyük olasılıkla, esir portal sayfasından yeniden yönlendirme zincirlerini taklit etmek için bir AITM saldırısı gerçekleştirdiğini söyledi.
AITM’nin hedef ağlardaki tehlikeye atılmış kenar cihazları vasıtasıyla kolaylaştırıldığı değerlendirilir, ancak bunu çekmek için kullanılan saldırı vektörü bu aşamada bilinmemektedir.
GTIG, “Yönlendirildikten sonra, tehdit oyuncusu hedefi bir yazılım güncellemesinin gerekli olduğuna inanmaya ve ‘eklenti güncellemesi olarak gizlenen kötü amaçlı yazılımları indirmeye çalışır.” Dedi. “İniş web sayfası meşru bir yazılım güncelleme sitesine benziyor ve Let’s Şifreleme tarafından verilen geçerli bir TLS sertifikası ile bir HTTPS bağlantısı kullanıyor.”
Sonuç, piyasaya sürüldüğünde, Canonstager (“cnmpaui.dll”) olarak atanan bir DLL kullanarak arka planda tetikleyen “adobeplugins.exe” (aka staticplugin) adlı bir yürütülebilir dosyanın indirilmesidir (“cnmpaui.dll”).
StaticPlugin Downloader, GlobalSign tarafından verilen geçerli bir sertifika ile Chengdu Nuoxin Times Technology Co., Ltd tarafından imzalanmıştır. Chengdu tarafından imzalanan iki düzineden fazla kötü amaçlı yazılım örneği, Çin-Nexus etkinlik kümeleri tarafından kullanıldı, en eski artefaktlar en az Ocak 2023’e kadar uzanıyor. Bu sertifikaların abone tarafından tam olarak nasıl elde edildiği net değil.
Whitsell, “Bu kampanya, UNC6384’ün operasyonel yeteneklerinin sürekli evriminin açık bir örneğidir ve PRC-Nexus tehdit aktörlerinin karmaşıklığını vurgular.” Dedi. “AITM gibi ileri tekniklerin kullanımı, geçerli kod imzalama ve katmanlı sosyal mühendislik ile birleştiğinde bu tehdit oyuncunun yeteneklerini göstermektedir.”