“Dijital Göz Operasyonu” adlı saldırı kampanyasında, Çin bağlantısı olduğundan şüphelenilen bir tehdit aktörünün Güney Avrupa’daki işletmeler arası BT hizmet sağlayıcılarını hedef aldığı gözlemlendi.
Saldırı operasyonu, 2024 yılının Haziran ayının sonundan Temmuz ayının ortasına kadar yaklaşık üç hafta sürdü. İzinsiz girişler, saldırganların stratejik bir yer edinmesine ve aşağı havzadaki birimleri tehlikeye atmasına olanak tanımış olabilir.
Tehdit aktörleri özellikle C2 amaçları doğrultusunda Visual Studio Code ve Microsoft Azure altyapısından yararlandı ve yasadışı faaliyetleri meşru gibi göstererek tespit edilmekten kaçınmaya çalıştı.
“Görünürlüğümüz, bu kampanyadan önce Visual Studio Code’un C2 amaçları doğrultusunda kötüye kullanılmasının nispeten nadir olduğunu gösteriyor.
Dijital Göz Operasyonu, doğrudan gözlemlediğimiz bu tekniği kullanan şüpheli bir Çinli APT grubunun ilk örneğini işaret ediyor”, Tinexta Cyber ve SentinelLabs araştırmacıları.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Visual Studio Kod Tünelleri aracılığıyla Çin APT’si
Başlangıçta uzaktan çalışmayı kolaylaştırmak için ortaya çıkan Microsoft Visual Studio Code Remote Tunnels teknolojisi, komutları yürütme ve dosyaları yönetme yeteneği de dahil olmak üzere eksiksiz uç nokta erişimi sunar.
Ayrıca Visual Studio Code tünelleme, Microsoft imzalı yürütülebilir dosyaları ve Microsoft Azure ağ altyapısını kullanır; bunların her ikisi de sıklıkla yakından izlenmez ve normalde güvenlik duvarı kuralları ve uygulama kısıtlamaları tarafından izin verilir.
Bu nedenle bu yöntemin tanımlanması zor olabilir ve güvenlik önlemlerini atlayabilir. Bu, Visual Studio Code tünellemeyi, özellikle sunduğu eksiksiz uç nokta erişimiyle birleştirildiğinde, tehdit aktörlerinin yararlanabileceği ilgi çekici ve güçlü bir araç haline getirir.
Saldırganlar, internette görülebilen veritabanı sunucularına ve web sunucularına erişim sağlamak için ilk olarak SQL (Yapılandırılmış Sorgu Dili) enjeksiyonunu kullandı.
Keşfedilen web trafiği günlükleri, saldırganların sqlmap aracını kullanarak SQL enjeksiyon güvenlik açıklarının tanımlanmasını ve bunlardan yararlanılmasını otomatikleştirdiğini gösteren Kullanıcı Aracısı istek başlıklarını gösterdi.
Tehdit aktörleri, ilk erişimi elde etmek ve devam eden erişimi sürdürmek için PHPsert adlı PHP tabanlı bir web kabuğu kullandı.
Araştırmacılar, “PHPsert uygulayan dosyaları gizlemek ve dosya sistemi etkinliğine dayalı tespitten kaçınmak için saldırganlar, sızılan ortamlara göre uyarlanmış özel adlar kullandı ve dosya adlarının meşru görünmesini sağladı” dedi.
“Buna, hedeflenen kuruluşların teknolojik bağlamıyla uyumlu yerel dil ve terimlerin kullanılması da dahildi”.
Tehdit aktörleri, ilk adımı attıktan sonra keşif gerçekleştirmek için bir dizi üçüncü taraf uygulamasını ve yerleşik Windows programlarını kullandı.
CreateDump aracını kullanarak Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işlemine.
Tehdit aktörleri dağıttıkları dosyaları sıklıkla do modelini kullanarak adlandırdılar.* Saldırganlar, güvenliği ihlal edilen ilk uç noktalardan dahili ağ üzerinden yanal olarak geçiş yapmak için karma geçiş yöntemlerini ve RDP (Uzak Masaüstü Protokolü) bağlantılarını kullandı.
Ayrıca, karma geçiş saldırıları için, bK2o.exe adlı yürütülebilir dosyada uygulanan Mimikatz’ın özel olarak değiştirilmiş bir sürümünü kullandılar.
Microsoft’un geliştirme tüneli teknolojisi üzerine kurulu Visual Studio Code Uzak Tünelleri, geliştiricilerin uzak sistemlere erişmesine ve bunlar üzerinde çalışmasına olanak tanır.
Dosya sistemini ve komut terminalini de içeren bu erişim, komutların yürütülmesi ve dosyaların değiştirilmesi gibi faaliyetlere olanak sağlar.
Tehdit aktörleri, Microsoft tarafından dijital olarak imzalanan code.exe adlı taşınabilir bir Visual Studio Code yürütülebilir dosyası yüklediler ve bunu bir Windows hizmeti olarak yürütmek içinwardsw aracını kullandılar.
Ayrıca Operasyon Tainted Love’da kullanılan wsx.exe, wsx1.exe, mim221 bileşenleri ve Soft Cell Operasyonunda simple_32.exe kullanıldı.
“Dijital Göz Operasyonunun büyük ihtimalle siber casusluk amacıyla Çin bağlantılı bir grup tarafından yürütüldüğünü değerlendiriyoruz. Araştırmacılar, Çin APT kümeleri arasında kötü amaçlı yazılımların, operasyonel taktiklerin ve altyapı yönetimi süreçlerinin kapsamlı paylaşımı nedeniyle sorumlu grubun belirsizliğini koruduğunu belirtti.
Araştırmaya göre operatörler, hedeflenen kuruluşların ağlarında en çok Çin’deki ortalama çalışma saati olan sabah 9 ile akşam 21:00 (CST) saatleri arasında aktifti.
Daha önce yapılan bir araştırmaya göre, şüpheli bir Kuzey Koreli çete, 2023’ten beri saldırıya uğramış bir ağda kalıcı olmak için Visual Studio Uzak Tünellerini kullanıyor.
Ayrıca, Cyble tarafından Ekim 2024’te yayınlanan ve ilişkilendirilmemiş etkinliklerin ayrıntılarını içeren bir rapora göre, tehdit aktörleri Visual Studio Code’u başlatmak ve uzaktan erişim sağlamak amacıyla tünel oluşturma işlevini açmak için bir Windows Kısayolu (LNK) dosyası yaydı.
Birim 42, Eylül 2024’te, Güneydoğu Asya devlet kuruluşlarını hedeflemek için Visual Studio Code’u arka kapı olarak kullanan bir kampanya hakkında bir rapor yayınladı. Kampanya, Stately Taurus’a (Mustang Panda olarak da bilinir) atfedildi.
Çinli APT grupları, bu kampanyanın Visual Studio Code Uzaktan Tünellerini kötüye kullanmasının da gösterdiği gibi, tespit edilmekten kaçınmak için sıklıkla pragmatik, çözüm odaklı stratejiler benimsiyor.
Bu, savunucuların geleneksel güvenlik yöntemlerini yeniden değerlendirmesini ve bu tür kaçınma taktiklerini anında tespit etmek için güçlü tespit sistemleri kurmasını gerektiriyor.
Investigate Real-World Malicious Links,Malware & Phishing Attacks With ANY.RUN - Try for Free