Araştırmacılar, Asya Hükümetlerini ve Telekom Devlerini Hedef Alan Devam Eden Saldırıları Ortaya Çıkardı

Asya'daki yüksek profilli hükümet ve telekom kuruluşları, 2021'den beri devam eden ve bir sonraki aşama kötü amaçlı yazılım dağıtmak için temel arka kapılar ve yükleyiciler dağıtmak üzere tasarlanmış bir kampanyanın parçası olarak hedef alındı.

Siber güvenlik şirketi Check Point, etkinliği Stayin' Alive adı altında takip ediyor. Hedefler arasında Vietnam, Özbekistan, Pakistan ve Kazakistan'da bulunan kuruluşlar yer alıyor.

"Araçların basit doğası [...] ve geniş varyasyonları, tek kullanımlık olduklarını, çoğunlukla ek yükleri indirmek ve çalıştırmak için kullanıldığını gösteriyor" dedi. "Bu araçlar, bilinen herhangi bir aktör tarafından oluşturulan ürünlerle net bir kod örtüşmesi paylaşmıyor ve birbirleriyle pek ortak noktaları yok."

Kampanyayla ilgili dikkate değer olan şey, altyapı paylaşımlarının, en az Aralık 2020'den bu yana Avrupa ve Asya'daki hükümet ve askeri kurumlara yönelik siber saldırıları düzenlemesiyle tanınan Çin bağlantılı bir tehdit aktörü olan ToddyCat tarafından kullanılanla örtüşmesi.

Saldırı zincirleri, arşivde bulunan sahte bir DLL dal_keepalives.dll aracılığıyla CurKeep adlı bir arka kapıyı yüklemek için DLL yandan yüklemesinden yararlanan meşru bir yürütülebilir dosyaya sahip bir ZIP dosyası eki içeren bir hedef odaklı kimlik avı e-postasıyla başlar.

CurlKeep, güvenliği ihlal edilmiş ana bilgisayar hakkında uzak bir sunucuya bilgi göndermek, sunucu tarafından gönderilen komutları yürütmek ve sistemdeki bir dosyaya sunucu yanıtları yazmak için tasarlanmıştır.

Komuta ve kontrol (C2) altyapısının daha yakından incelenmesi, DLL dosyalarını alabilen, uzaktan komutları yürütebilen ve sunucudan gelen verilerin yazıldığı yeni oluşturulan bir dosyayla ilişkili bir işlem başlatabilen CurLu, CurCore ve CurLog adlı sürekli gelişen bir yükleyici varyantı cephaneliğini ortaya çıkardı.

Ayrıca, uzak bir bağlantıyı kabul etmek ve şifreli bir yapılandırma dosyası almak için beş farklı bağlantı noktasını (60810, 60811, 60812, 60813 ve 60814) dinleyen StylerServ adlı pasif bir implant da keşfedildi.

Stayin' Alive'ı ToddyCat'e bağlayacak kesin bir kanıt olmasa da, bulgular her iki saldırı setinin de benzer bir dizi hedefin peşinden gitmek için aynı altyapıyı kullandığını gösteriyor.

Check Point, "Bu kampanyada gözlemlendiği gibi tek kullanımlık yükleyicilerin ve indiricilerin kullanımı, sofistike aktörler arasında bile daha yaygın hale geliyor" dedi. "Tek kullanımlık araçların kullanılması, sık sık değiştirildikleri ve muhtemelen sıfırdan yazıldıkları için hem algılama hem de ilişkilendirme çabalarını zorlaştırıyor."

Gelişme, AhnLab Güvenlik Acil Durum Müdahale Merkezi'nin (ASEC), Güney Kore ve Tayland'daki çeşitli kuruluşların, komut yürütmeye ve dosya indirme ve yüklemeye izin veren BlueShell adlı açık kaynaklı Go tabanlı bir arka kapı ile hedef alındığını ortaya çıkarmasıyla geldi. İzinsiz girişlerden bazıları, Dalbit olarak bilinen Çinli bir bilgisayar korsanlığı ekibine atfedildi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği