Çin bağlantılı gelişmiş Kalıcı Tehdit (APT) Grubu Phantom Toros, Afrika, Orta Doğu ve Asya’daki hükümet ve telekomünikasyon hedeflerine karşı casusluk operasyonlarını yoğunlaştırdı ve yeni keşfedilen bir .NET kötü amaçlı yazılım paketi kullandı.
Birim 42 tarafından Haziran 2023’te CL-STA-0043 kümesi olarak izlenen ve Mayıs 2024’te geçici olarak TGR-STA-0043 (Diplomatik Operasyon Operasyonu) olarak adlandırılan grup, Çin Halk Cumhuriyeti (PRC) devlet çıkarları ile uyumlu farklı bir tehdit aktörü olarak resmi olarak olgunlaşmıştır.
Son iki buçuk yıl boyunca, Phantom Boğa kampanyaları, jeopolitik etkinliklere ve askeri operasyonlara katılan dışişleri, elçilikler ve kuruluşlar bakanlıklarını sürekli olarak hedefledi.
Aktörün mağduru, Çin’in etki ve içgörü aradığı bölgelerde diplomatik iletişim, savunma ile ilgili zeka ve eleştirel hükümet işlevlerine odaklanan PRC stratejik öncelikleriyle uyumludur.
Belirgin taktikler, teknikler ve prosedürler
Birçok Çinli APT, China Chopper ve Patates Süiti gibi ortak araçlar kullanırken, Phantom Toros, son derece gizli, kalıcı operasyonlar sağlayan benzersiz, özel olarak geliştirilmiş TTP’lerle ayrım yapıyor.
Sürekli telemetri toplama ve istihbarat analizinden sonra, Ünite 42, Phantom Toros’un demir torusu (APT27), nişastalı toros (Winnti) ve görkemli Boğa (Mustang Panda) ile bazı altyapı paylaştığını, ancak diğer kampanyalarda gözlemlenmeyen özel bileşenleri kullandığını doğruladı. Bu bölümleşme, daha geniş Çin bağında uzmanlaşmış bir operasyonel segmentin altını çizmektedir.
Ünite 42’nin atıf çerçevesi, CL-S-SA-0043’ün evrimini, gevşek tanımlanmış bir aktivite kümesinden resmi olarak tanınan APT grubu Phantom Boğa’ya yönlendirdi.
İlerici sınıflandırma – Haziran 2023’teki initsel küme gözlemi, Mayıs 2024’teki geçici grup ataması ve 2025’teki tam ilişkilendirme – araştırmalar, aktörün kalıcı casusluk kampanyalarını, altyapı çakışmalarını ve PRC hedeflerine nadir araç setlerini bağladılar.
MSSQ.bat ve Veritabanı Pessfiltration
2025’in başlarında, Phantom Boğa, doğrudan veritabanı hedeflemesine e-posta merkezli bir uzlaşma yaklaşımından geçti.
Grup özel bir komut dosyası (mmssq.bat) kullanmak, çalıntı kimlik bilgileri aracılığıyla SQL Server örneklerine bağlanır, sorguları dinamik olarak sorunlar ve sonuçları CSV dosyalarına dışa aktarır.
Yürütme, Windows Yönetimi Enstrümantasyonu (WMI) yoluyla düzenlenir ve komut dosyasının uzlaşmış ortamlarda uzaktan, bellek içi yürütülmesini sağlar.
Net-Star: A.NET kötü amaçlı yazılım süiti
Soruşturmada bir atılım, Internet Bilgi Hizmetleri (IIS) web sunucularını tehlikeye atmak için tasarlanmış daha önce belgelenmemiş bir kötü amaçlı yazılım paketi olan Net-Star’ın ortaya çıkarılmasıydı.
Kötü amaçlı yazılımların PDB yollarına gömülü “yıldız” dizeleri olarak adlandırılan net yıldız, üç .NET tabanlı bileşen içerir:
- İiservercore: W3WP.EXE IIS işçi işleminde bellekte yürütülen modüler, filtrelsiz bir arka kapı. Bir ASPX Web Kabası (Outlooken.aspx) aracılığıyla teslim edilen komutları şifresini çözer, yükleri yükler ve şifreli bir komut ve kontrol kanalı üzerinden iletişim kurar.
- AssemblyExecuter V1: .NET düzeneklerini giriş olarak kabul eden, bunları bellekte yürüten ve disk tabanlı algılama mekanizmalarından kaçarak minimal antivirüs bayraklarına neden olan bir yükleyici.
- AssemblyExecuter V2: Antimal Yazılım Tarama Arayüzü (AMSI) için rutinleri ve Windows için Etkinlik İzleme (ETW) yerleştiren gelişmiş bir varyant, yoğun olarak izlenen ortamlarda gizli çalışmaya izin verir.
Phantom Boğa, web kabuklarındaki ve arka kapı bileşenlerindeki dosya zaman damgalarını değiştirmek için zamanlama tekniklerinden yararlanır ve derleme sürelerini adli analizden kaçınmak için randomize eder.
IIServerCore ayrıca, dosya meta verilerinin algılama araçlarını karıştırmasını sağlar.
Çıkarımlar ve öneriler
Palo Alto Networks müşterileri aşağıdaki korumalardan yararlanabilir: gelişmiş orman yangını, Gelişmiş Tehdit Önleme, Cortex XDR ve XSIAM.
Net-Star’ın tanıtımı, Çin’in İnternet’e dönük sunuculara karşı uygun yeteneklerinde önemli bir yükselişe işaret ediyor. IIS Web Hizmetlerini-ve yüksek faiz bölgelerindeki bakanlıklar, elçilikler ve telekomünikasyon sağlayıcılarını işleten kuruluşlar:
- W3WP.EXE bellek işlemlerinin ve olağandışı ASPX dosya etkinliklerinin sağlam izlenmesini uygulayın.
- MSSQ.BAT gibi veritabanı eksfiltrasyon komut dosyalarını engellemek için en az teminli SQL hesaplarını uygulayın ve yönetimsel kimlik bilgilerini döndürün.
- Anı-Memory .NET Yürütmesini inceleyen ve AMSI/ETW baypas girişimlerini tespit eden uç nokta algılama ve yanıt (EDR) çözümlerini dağıtın.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.