Winnti olarak bilinen Çin bağlantılı tehdit oyuncusu, adlı yeni bir kampanyaya atfedildi Canlandırıcı taşı Bu, Mart 2024’te üretim, malzeme ve enerji sektörlerinde Japon şirketlerini hedef aldı.
Japon siber güvenlik şirketi Lac tarafından detaylandırılan etkinlik, trend micro tarafından APT41 siber casusluk grubu içinde bir alt küme olarak değerlendirilen trend micro tarafından izlenen bir tehdit kümesiyle örtüşüyor, cyberseason tarafından cuckoobe operasyonu adı altında ve Symantec tarafından Blackfly.
APT41, casusluk saldırılarını monte etme ve tedarik zincirini zehirleme yeteneğine sahip son derece yetenekli ve metodik bir aktör olarak tanımlanmıştır. Kampanyaları genellikle gizli göz önünde bulundurularak tasarlanmıştır, yalnızca çevreye yüklenen güvenlik yazılımını atlamakla kalmayıp aynı zamanda kritik bilgileri hasat etmekte ve kalıcı uzaktan erişim için gizli kanallar oluşturan özel bir araç seti kullanarak hedeflerine ulaşmak için bir dizi taktikten yararlanır.
Lac, “Grubun birçoğu ülkenin stratejik hedefleriyle uyumlu casusluk faaliyetleri, dünyanın dört bir yanındaki çok çeşitli kamu ve özel endüstri sektörlerini hedef aldı.” Dedi.
“Bu tehdit grubunun saldırıları, iletişimin gizlenmesine ve manipülasyonuna ve kötü amaçlı yazılımlarda çalıntı, meşru dijital sertifikaların kullanılmasına izin veren benzersiz bir rootkit olan Winnti kötü amaçlı yazılım kullanımı ile karakterize edilmektedir.”
En az 2012’den beri aktif olan Winnti, 2022 yılından itibaren Asya’da üretim ve malzeme ile ilgili kuruluşları seçti ve Kasım 2023 ve Ekim 2024 arasındaki son kampanyalar, Asya-Pasifik (APAC) bölgesini hedefleyen kamuoyu açısından yararlanıyor. IBM Lotus Domino, kötü amaçlı yazılımları aşağıdaki gibi dağıtmak için –
- Deathlotus – Dosya oluşturma ve komut yürütmeyi destekleyen pasif bir CGI arka kapısı
- İşten çıkarmak – C ++ ‘da yazılmış bir savunma kaçırma hizmeti
- Müstehcen – Winnkit adında bir çekirdek seviyesi rootkit sunan Winnti Rat’ı (diğer adıyla dağıtım) bırakmak için kullanılan bir yükleyici, bir rootkit yükleyici aracılığıyla
- Cunningpigeon – Posta mesajlarından komutları – dosya ve işlem yönetimi ve özel proxy – almak için Microsoft Graph API kullanan bir arka kapı
- Windjammer – TCPIP Ağ Arabirimini engelleme özelliklerine sahip bir rootkit, intranet içinde enfekte uç noktalara sahip gizli kanallar oluşturma
- Shadowgaze – IIS web sunucusundan dinleme bağlantı noktasını yeniden kullanan pasif bir arka kapı
LAC tarafından belgelenen en son saldırı zincirinin, Çin kıyıcısı ve arkası (aka bingxia ve icescorpion) gibi web kabuklarını, erişim kullanarak, belirtilmemiş bir kurumsal kaynak planlaması (ERP) sisteminde bir SQL enjeksiyon kırılganlığından yararlandığı bulunmuştur. Keşif yapmak, yanal hareket için kimlik bilgileri toplamak ve Winnti kötü amaçlı yazılımlarının geliştirilmiş bir versiyonunu sunmak.
İzinsiz girişin erişiminin, ortak bir hesaptan yararlanarak yönetilen bir servis sağlayıcıyı (MSP) ihlal etmek için daha da genişletildiği ve ardından kötü amaçlı yazılımları diğer üç kuruluşa yaymak için şirketin altyapısını silahlandırdığı söyleniyor.
Lac, Revivalstone kampanyasında Treadstone ve Stonev5’e referanslar bulduğunu, birincisi Winnti kötü amaçlı yazılımlarla çalışmak üzere tasarlanmış ve geçen yılın I-Soon (ankssun) sızıntısına da dahil edilen bir denetleyici olduğunu söyledi. Bir Linux kötü amaçlı yazılım kontrol paneli.
Araştırmacılar Takuma Matsumoto ve Yoshihiro Ishikawa, “Treadstone Winnti kötü amaçlı yazılımla aynı anlama sahipse, sadece spekülasyondur, ancak Stonev5 de sürüm 5 anlamına gelebilir ve bu saldırıda kullanılan kötü amaçlı yazılımların Winnti v5.0 olması mümkündür. .
“Yeni Winnti kötü amaçlı yazılım, gizleme, güncellenmiş şifreleme algoritmaları ve güvenlik ürünleri tarafından kaçırma gibi özelliklerle uygulandı ve bu saldırgan grubunun Winnti kötü amaçlı yazılımlarının işlevlerini güncellemeye ve saldırılarda kullanmaya devam etmesi muhtemeldir.”
Açıklama, Fortinet Fortiguard Labs, Kasım 2024’ten bu yana kalıcı erişim ve gizli eylemler sürecine kötü amaçlı yazılım enjekte ederek ağ cihazlarındaki SSH daemon’u ele geçirecek şekilde donatılmış Linux tabanlı bir saldırı paketini detaylandırdı.
Daggerfly olarak bilinen başka bir Çin ulus-devlet hackleme grubuyla ilişkili kötü amaçlı yazılım paketi (diğer adıyla bronz yayla ve kaçan panda), veri açığa çıkması için tasarlanmıştır, uzak bir sunucudan çalışma işlemlerini ve hizmetlerini numaralandırmak için gelen talimatları dinler, dosya işlemlerini gerçekleştirmek, dosya işlemlerini yapmak, Terminali başlatın ve terminal komutlarını yürüt.