.png "Yeni Çinli APT Hacker, İmzalı Kötü Amaçlı Yazılımla BT ve Telekom Sektörlerine Saldırıyor")
SentinelOne’daki güvenlik araştırmacıları tarafından tespit edilen, kod adı WIP19 olan, gelişmekte olan bir APT grubu var. Bu APT grubunun, saldırganların telekomünikasyon şirketlerini ve BT şirketlerini hedef aldığı Orta Doğu ve Asya’daki saldırıları.
Araştırmacılar, grubun, siber casusluk amacıyla aktif olan, Çince konuşan bir tehdit aktörü olduğuna inanıyordu.
Bu APT ve Operasyon Gölge Gücü’nün bazı benzerlikleri paylaştığı ortaya çıktı. Bu kampanya, yeni geliştirilen kötü amaçlı yazılımların ve tehdit aktörleri tarafından geliştirilen tekniklerin kullanılmasını içerir.
Aktörler Geçerli Sertifikaları Kötüye Kullandı
Algılamadan kaçınmak için çalınan sertifikalar kullanılarak WIP19 tarafından imzalanan birkaç kötü amaçlı bileşen vardır. Grubun tanımlayıcı özelliklerinden biri, meşru bir Kore şirketi olan DEEPSoft adlı bir şirket tarafından verilen çalıntı bir dijital sertifika kullanmasıdır.
Bu tehdit aktörü tarafından gerçekleştirilen tehditlerin neredeyse tamamının, öncelikle uygulamalı klavye yaklaşımı kullanılarak gerçekleştirildiğine şüphe yoktur. Bu örnekte, saldırganla canlı etkileşimli bir oturum sırasında güvenliği ihlal edilmiş bir makine kullanılmıştır.
Saldırgan, gizliliği elde etmek için gizli bir iletişim yöntemi için kararlı bir C2 kanalı kullandı.
Rapora göre WIP19, saldırının bir parçası olarak WinEggDrop tarafından geliştirilen bazı bileşenleri kullanıyor. 2014’ten beri WinEggDrop, çeşitli tehdit grupları tarafından kullanılan kötü amaçlı yazılım araçları oluşturmuştur.
Unutulmamalıdır ki çalınan sertifika, tehdit aktörü tarafından kimlik bilgilerini toplamak için kullanılan tüm araçların imzalanmasında kullanılmıştır.
Kullanılan Araç Türleri
Bu düşmanca topluluk, izinsiz girişlerini monte etmek için ısmarlama bir araç setinin yardımını alıyor. Kısacası, tehdit aktörleri tarafından saldırıları sırasında bir dizi araç kullanıldı ve burada aşağıda belirtilmiştir:-
- Kimlik bilgileri damperi
- ağ tarayıcı
- tarayıcı hırsızı
- Keylogger & Ekran Kaydı (ScreenCap)
- Genişletilmiş Prosedür SQL (SQLMaggie)
Diğer bilgisayar korsanlığı araçlarından farklı olarak, SQLMaggie, Microsoft SQL sunucularına girme ve SQL sorguları aracılığıyla keyfi komutları kolaylıkla çalıştırma yeteneğine sahiptir.
Hedeflenen ortamın türüne bağlı olarak, arka kapının farklı sürümleri farklı komutları yürütebilir. Ayrıca, SQLMaggie’nin yalnızca gruba özel olarak mevcut olduğu veya özel olarak da satılabileceği görülüyor.
Çin casusluğunun, WIP19 merceğinden bakıldığında, özellikle kritik altyapı endüstrileri olmak üzere, çok daha geniş bir endüstri yelpazesinde gerçekleştirildiği açıktır.