Araştırmacılar Sandman APT'nin Çin Merkezli KEYPLUG Arka Kapısına Gizli Bağlantısını Ortaya Çıkardı
Sandman adı verilen esrarengiz gelişmiş kalıcı tehdit (APT) ile KEYPLUG olarak bilinen bir arka kapı kullandığı bilinen Çin merkezli bir tehdit kümesi arasında taktik ve hedefleme örtüşmeleri keşfedildi.
Değerlendirme, SentinelOne, PwC ve Microsoft Tehdit İstihbaratı ekibinden, düşmanın Lua tabanlı kötü amaçlı yazılımı LuaDream ve KEYPLUG'ın aynı kurban ağlarında birlikte yaşadığının belirlenmesine dayanarak ortaklaşa geliyor.
Microsoft ve PwC, etkinliği sırasıyla Storm-0866 ve Red Dev 40 adları altında izliyor.
Şirketler, The Hacker News ile paylaşılan bir raporda, "Sandman ve Storm-0866/Red Dev 40, barındırma sağlayıcısı seçimleri ve alan adı adlandırma kuralları dahil olmak üzere altyapı kontrol ve yönetim uygulamalarını paylaşıyor" dedi.
"LuaDream ve KEYPLUG'ın uygulanması, paylaşılan geliştirme uygulamalarının göstergelerini ve işlevsellik ve tasarımdaki örtüşmeleri ortaya çıkararak, operatörleri tarafından paylaşılan işlevsel gereksinimleri ortaya koyuyor."
Sandman ilk olarak Eylül 2023'te SentinelOne tarafından ifşa edildi ve LuaDream kod adlı yeni bir implant kullanarak Orta Doğu, Batı Avrupa ve Güney Asya'daki telekomünikasyon sağlayıcılarına yönelik saldırılarını detaylandırdı. İzinsiz girişler Ağustos 2023'te kaydedildi.
Öte yandan Storm-0866/Red Dev 40, telekomünikasyon sağlayıcıları ve devlet kurumları da dahil olmak üzere öncelikle Orta Doğu ve Güney Asya alt kıtasındaki varlıkları seçen yeni bir APT kümesini ifade eder.
Storm-0866'nın cephaneliğindeki en önemli araçlardan biri, ilk olarak Google'a ait Mandiant tarafından Çin merkezli APT41 (diğer adıyla Brass Typhoon veya Barium) aktörü tarafından Mayıs 2021 ile Şubat 2022 arasında altı ABD eyalet hükümeti ağına sızmak için düzenlenen saldırıların bir parçası olarak ifşa edilen bir arka kapı olan KEYPLUG'dır.
Bu Mart ayının başlarında yayınlanan bir raporda, Recorded Future, KEYPLUG'ın kullanımını, RedGolf olarak izlediği Çin devlet destekli bir tehdit etkinliği grubuna bağladı ve bunun "APT41/Barium takma adları altında bildirilen tehdit etkinliğiyle yakından örtüştüğünü" söyledi.
Şirketler, "Bu farklı kötü amaçlı yazılım türlerinin uygulanmasının ve C2 altyapısının yakından incelenmesi, ortak geliştirmenin yanı sıra altyapı kontrolü ve yönetim uygulamalarının göstergelerini ve işlevsellik ve tasarımdaki bazı örtüşmeleri ortaya çıkardı ve bu da operatörleri tarafından paylaşılan işlevsel gereksinimleri düşündürdü" dedi.
Dikkate değer örtüşmelerden biri, "dan.det-ploshadka[.] com" ve "ssl.e-novauto[.] com", aynı zamanda bir KEYPLUG C2 sunucusu olarak da kullanılmaya başlandı ve Storm-0866'ya bağlandı.
LuaDream ve KEYPLUG arasındaki bir başka ilginç ortak nokta, her iki implantın da C2 iletişimi için QUIC ve WebSocket protokollerini desteklemesidir, bu da ortak gereksinimleri ve koordinasyonun arkasında bir dijital çeyrek yöneticisinin olası varlığını gösterir.
SentinelLabs'ın kıdemli tehdit araştırmacısı Aleksandar Milenkoski, The Hacker News'e verdiği demeçte, "LuaDream ve KEYPLUG davasında ortak bir satıcının veya dijital çeyrek yöneticisinin katılımını doğrulayan somut teknik göstergeler gözlemlemedik" dedi.
"Ancak, paylaşılan geliştirme uygulamalarının gözlemlenen göstergeleri ve işlevsellik ve tasarımdaki örtüşmeler göz önüne alındığında, bu olasılığı dışlamıyoruz. Çin'deki tehdit ortamında benzer vakaların yaygınlığı dikkat çekicidir, bu da operasyonel ekiplere kötü amaçlı yazılım sağlamak için dahili ve/veya harici kanallar oluşturulabileceğini gösterir."
Araştırmacılar, "LuaDream ve KEYPLUG'ın HTTP, TCP, WebSocket ve QUIC arasında yapılandırılmış protokolü değerlendirme sırası aynıdır: HTTP, TCP, WebSocket ve QUIC bu sırayla" dedi. LuaDream ve KEYPLUG'ın üst düzey yürütme akışları çok benzer."
Lua'nın benimsenmesi, hem ulus devletle uyumlu hem de siber suç odaklı tehdit aktörlerinin, tespit edilmekten kaçınmak ve kurban ortamlarında uzun süre kalmak için DLang ve Nim gibi yaygın olmayan programlama dillerine giderek daha fazla odaklandıklarının bir başka işaretidir.
Özellikle Lua tabanlı kötü amaçlı yazılımlar, son on yılda vahşi doğada yalnızca birkaç kez tespit edildi. Buna Alev, Hayvan Çiftliği (diğer adıyla SNOWGLOBE) ve Sauron Projesi dahildir.
Araştırmacılar, "Sandman APT'yi KEYPLUG arka kapısını, özellikle de Storm-0866/Red Dev 40'ı kullanan Çin merkezli düşmanlarla ilişkilendiren operasyonel altyapı, hedefleme ve TTP'lerde güçlü örtüşmeler var" dedi. "Bu, Çin tehdit ortamının karmaşık doğasını vurguluyor."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı