Araştırmacılar, Grayling APT'nin Endüstriler Arasında Devam Eden Saldırı Kampanyasını Ortaya Çıkardı

Kaynağı bilinmeyen, daha önce belgelenmemiş bir tehdit aktörü, Tayvan'daki üretim, BT ve biyomedikal sektörlerindeki kuruluşları hedef alan bir dizi saldırıyla ilişkilendirildi.

Broadcom'un bir parçası olan Symantec Tehdit Avcısı Ekibi, saldırıları Grayling adı altında izlediği gelişmiş bir kalıcı tehdide (APT) bağladı. Kanıtlar, kampanyanın Şubat 2023'te başladığını ve en az Mayıs 2023'e kadar devam ettiğini gösteriyor.

Ayrıca, faaliyetin bir parçası olarak Pasifik Adaları'nda bulunan bir devlet kurumunun yanı sıra Vietnam ve ABD'deki kuruluşlar da hedefleniyor.

Şirket, The Hacker News ile paylaşılan bir raporda, "Bu etkinlik, Grayling'in yükleri dağıtmak için özel bir şifre çözücü kullanan ayırt edici bir DLL yandan yükleme tekniğini kullanması nedeniyle göze çarpıyordu" dedi. "Bu faaliyeti yönlendiren motivasyon istihbarat toplama gibi görünüyor."

Kurban ortamlarına ilk dayanağın, halka açık altyapıdan yararlanılarak ve ardından kalıcı erişim için web kabuklarının konuşlandırılmasıyla elde edildiği söyleniyor.

Saldırı zincirleri daha sonra Mimikatz gibi diğer araçların yanı sıra Cobalt Strike, NetSpy ve Havoc çerçevesi dahil olmak üzere çeşitli yükleri yüklemek için SbieDll_Hook aracılığıyla DLL yandan yüklemesinden yararlanır. Grayling'in processlist.txt adlı bir dosyada listelenen tüm işlemleri öldürdüğü de gözlemlendi.

DLL dışarıdan yükleme, çeşitli tehdit aktörleri tarafından güvenlik çözümlerini aşmak ve Windows işletim sistemini hedef uç noktada kötü amaçlı kod yürütmesi için kandırmak için kullanılan popüler bir tekniktir.

Bu genellikle, bir uygulama tarafından kullanılan meşru bir DLL ile aynı ada sahip kötü amaçlı bir DLL'yi, DLL arama sırası mekanizmasından yararlanılarak gerçek DLL'den önce yükleneceği bir konuma yerleştirerek gerçekleştirilir.

Symantec, "Saldırganlar, kurbanların bilgisayarlarına ilk erişimi elde ettiklerinde, ayrıcalıkları yükseltmek, ağ taraması ve indiricileri kullanmak dahil olmak üzere çeşitli eylemlerde bulunuyorlar" dedi.

SbieDll_Hook ve SandboxieBITS.exe ile ilgili olarak DLL yandan yükleme kullanımının daha önce Güneydoğu Asya'daki askeri kuruluşları hedef alan saldırılarda Naikon APT örneğinde gözlemlendiğini belirtmekte fayda var.

Symantec, The Hacker News'e verdiği demeçte, Grayling ve Naikon arasında herhangi bir örtüşme bulamadığını, ancak "DLL yandan yüklemesinin bugünlerde APT aktörleri için, özellikle de Çin dışında faaliyet gösteren aktörler arasında oldukça yaygın bir teknik olduğunu" belirtti.

Düşmanın bugüne kadar herhangi bir veri hırsızlığına giriştiğine dair hiçbir kanıt yok, bu da motiflerin daha çok keşif ve istihbarat toplamaya yönelik olduğunu gösteriyor.

Halka açık araçların kullanımı, ilişkilendirme çabalarını karmaşıklaştırma girişimi olarak görülürken, sürecin sonlandırılması, uzun süre radar altında kalmak için bir öncelik olarak tespit kaçırmayı gösterir.

Şirket, "Tayvanlı kuruluşların yoğun bir şekilde hedef alınması, muhtemelen Tayvan'da stratejik çıkarları olan bir bölgeden faaliyet gösterdiklerini gösteriyor" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği