Çince konuşan kullanıcılar, Windows sistemlerini Cobalt Strike yükleriyle enfekte etmek için muhtemelen kimlik avı e-postalarından yararlanan “son derece organize ve karmaşık bir saldırı” kampanyasının hedefi haline geldi.
Securonix araştırmacıları Den Iuzvyk ve Tim Peck yeni bir raporda, “Saldırganlar yatay olarak hareket etmeyi, kalıcılık sağlamayı ve iki haftadan uzun süre sistemler içerisinde tespit edilememeyi başardılar” dedi.
Gizli kampanya, kod adı YAVAŞ#FIRTINA ve bilinen herhangi bir tehdit aktörüne atfedilmeyen bu saldırı, açıldığında enfeksiyon zincirini harekete geçiren ve saldırıya uğramış sistemlere saldırı sonrası araç setinin dağıtılmasına yol açan kötü amaçlı ZIP dosyalarıyla başlar.
ZIP arşivinde, kendisini bir Microsoft Word dosyası olarak gizleyen bir Windows kısayol (LNK) dosyası bulunur: “Uzaktan kumanda yazılımı düzenlemelerini ihlal eden kişilerin listesi.docx.lnk”, kabaca “Uzaktan kumanda yazılımı düzenlemelerini ihlal eden kişilerin listesi” anlamına gelir. uzaktan kumanda yazılımı düzenlemeleri.”
Araştırmacılar, “Yetki dosyalarında kullanılan dil göz önüne alındığında, her ikisi de ‘uzaktan kumanda yazılımı yönetmeliklerine’ uyan kişileri istihdam edeceğinden, Çin ile ilgili belirli iş veya hükümet sektörlerinin hedef alınması muhtemeldir” diye belirtti.
LNK dosyası, sahte bir DLL’yi (“dui70.dll”) yürütmek için DLL yan yüklemesini kullanan meşru bir Microsoft ikili dosyasını (“LicensingUI.exe”) başlatmak için bir kanal görevi görür. Her iki dosya da “\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_.” adlı bir dizindeki ZIP arşivinin bir parçasıdır. Saldırı, LicensingUI.exe aracılığıyla DLL yan yüklemesinin ilk kez bildirildiği zamandır.
DLL dosyası, enfekte olmuş ana bilgisayara kalıcı ve gizli erişim sağlayan ve uzak bir sunucuyla (“123.207.74″) bağlantı kuran bir Cobalt Strike implantıdır.[.]22”).
Uzaktan erişimin saldırganlara, keşif için ek yükler dağıtma ve proxy bağlantıları kurma gibi bir dizi uygulamalı faaliyet yürütme olanağı sağladığı söyleniyor.
Enfeksiyon zinciri ayrıca, doğrudan bellekte keyfi kabuk kodu çalıştırabilen “lld.exe” adlı kötü amaçlı bir yürütülebilir dosyayı periyodik olarak çalıştırmak için zamanlanmış bir görev ayarlamasıyla da dikkat çekiyor, böylece diskte minimum ayak izi bırakıyor.
Araştırmacılar, “Saldırganlar, yerleşik Misafir kullanıcı hesabının ayrıcalıklarını manuel olarak yükselterek, tehlikeye atılmış sistemlerde saklanmalarını daha da kolaylaştırdılar” dedi.
“Genellikle devre dışı bırakılmış ve asgari ayrıcalıklara sahip olan bu hesap, kritik yönetim grubuna eklenerek ve ona yeni bir parola atanarak güçlü bir erişim noktasına dönüştürüldü. Bu arka kapı, Misafir hesabının genellikle diğer kullanıcı hesapları kadar yakından izlenmemesi nedeniyle sisteme asgari düzeyde tespitle erişim sağlamalarına olanak tanır.”
Bilinmeyen tehdit aktörü daha sonra Uzak Masaüstü Protokolü’nü (RDP) ve Mimikatz parola çıkarma aracıyla elde edilen kimlik bilgilerini kullanarak ağ üzerinde yatay olarak hareket etti ve ardından bu makinelerin her birinden komuta ve kontrol (C2) sunucusuna uzaktan bağlantılar kurdu.
Sömürü sonrası aşama, çeşitli numaralandırma komutlarının yürütülmesi ve Active Directory (AD) keşfi için BloodHound aracının kullanılmasıyla daha da karakterize edilir; bu işlemlerin sonuçları daha sonra bir ZIP arşivi biçiminde dışarı çıkarılır.
Çin’e bağlantılar, tüm C2 sunucularının Shenzhen Tencent Computer Systems Company Limited tarafından Çin’de barındırılması gerçeğiyle güçlendirilmiştir. Bunun da ötesinde, kampanyayla bağlantılı eserlerin çoğu Çin’den kaynaklanmıştır.
Araştırmacılar, “Bu saldırıyı bilinen herhangi bir APT grubuyla ilişkilendiren kesin bir kanıt olmasa da, Cobalt Strike ve diğer çok çeşitli istismar sonrası araçları kullanma deneyimi olan deneyimli bir tehdit aktörü tarafından düzenlenmiş olması muhtemeldir” sonucuna vardı.
“Kampanyanın karmaşıklığı, başlangıçtaki uzlaşma, ısrar, ayrıcalıkların artırılması ve ağ genelindeki yatay hareketlere yönelik metodik yaklaşımında açıkça görülüyor.”