APT41 Bilgisayar Korsanları Tayvan Enstitüsü Siber Saldırısında ShadowPad, Cobalt Strike Kullanıyor

İsmi açıklanmayan kuruluş, ShadowPad ve Cobalt Strike gibi çeşitli arka kapılar ve uzlaşma sonrası araçlar sunmak için Temmuz 2023'ün ortalarında hedef alındı. APT41 olarak izlenen üretken bir bilgisayar korsanlığı grubuna orta düzeyde güvenle atfedildi.

Güvenlik araştırmacıları Joey Chen, Ashley Shen ve Vitor Ventura, "Mevcut kampanyada kullanılan ShadowPad kötü amaçlı yazılımı, yükü başlatmak için özelleştirilmiş ikinci aşama yükleyiciyi yüklemek için bir yükleyici olarak Microsoft Office IME ikili dosyasının eski bir savunmasız sürümünü kullandı" dedi.

"Tehdit aktörü, hedeflenen ortamdaki üç ana bilgisayarı tehlikeye attı ve bazı belgeleri ağdan sızdırmayı başardı."

Cisco Talos, güvenliği ihlal edilmiş ortamda PowerShell komut dosyalarını indirmek ve yürütmek için bir IP adresine bağlanan "anormal PowerShell komutları" olarak tanımladığı şeyi tespit ettikten sonra etkinliği Ağustos 2023'te keşfettiğini söyledi.

Saldırıda kullanılan tam ilk erişim vektörü bilinmemekle birlikte, kalıcı erişimi sürdürmek ve ShadowPad ve Cobalt Strike gibi ek yükleri bırakmak için bir web kabuğunun kullanılmasını içeriyordu, ikincisi CS-Avoid-Killing adlı Go tabanlı bir Cobalt Strike yükleyici aracılığıyla sağlandı.

Araştırmacılar, "Cobalt Strike kötü amaçlı yazılımı, AV algılamasını atlamak ve güvenlik ürünü karantinasından kaçınmak için bir anti-AV yükleyici kullanılarak geliştirildi" dedi.

Alternatif olarak, tehdit aktörünün, ShadowPad'i bellekte çalıştırmaktan sorumlu komut dosyalarını başlatmak ve güvenliği ihlal edilmiş bir komut ve kontrol (C2) sunucusundan Cobalt Strike kötü amaçlı yazılımını getirmek için PowerShell komutlarını çalıştırdığı gözlemlendi. ScatterBee olarak da adlandırılan DLL tabanlı ShadowPad yükleyici, DLL yandan yükleme yoluyla yürütülür.

İzinsiz girişin bir parçası olarak gerçekleştirilen diğer adımlardan bazıları, parolaları çıkarmak için Mimikatz'ın kullanılmasını ve kullanıcı hesapları, dizin yapısı ve ağ yapılandırmaları hakkında bilgi toplamak için çeşitli komutların yürütülmesini içeriyordu.

Talos, "APT41, CVE-2018-0824 için bir kavram kanıtı enjekte etmek için özel bir yükleyici oluşturdu ve yerel ayrıcalık yükseltmesi elde etmek için uzaktan kod yürütme güvenlik açığı kullandı" dedi ve son yük olan UnmarshalPwn'ın üç farklı aşamadan geçtikten sonra serbest bırakıldığını belirtti.

Siber güvenlik ekibi ayrıca, düşmanın sistemdeki diğer kullanıcıları tespit ettikten sonra kendi faaliyetini durdurarak tespit edilmekten kaçınma girişimlerine de dikkat çekti. Araştırmacılar, "Arka kapılar dağıtıldıktan sonra, kötü niyetli aktör, ilk erişime izin veren web kabuğunu ve misafir hesabını silecek" dedi.

Açıklama, Almanya'nın bu haftanın başlarında Çin devlet aktörlerinin casusluk amacıyla ülkenin ulusal harita ajansı Federal Haritacılık ve Jeodezi Ofisi'ne (BKG) 2021'de düzenlenen bir siber saldırının arkasında olduğunu açıklamasının ardından geldi.

İddialara yanıt veren Çin'in Berlin büyükelçiliği, suçlamanın asılsız olduğunu söyledi ve Almanya'yı "Çin'i siyasi ve medyada karalamak için siber güvenlik konularını kullanma uygulamasını durdurmaya" çağırdı.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği