Çin Bağlantılı Bilgisayar Korsanları, Gizli Operasyonlar için Yeni 'UNAPIMON' Kötü Amaçlı Yazılım Dağıtıyor

Trend Micro güvenlik araştırmacısı Christopher So, bugün yayınlanan bir raporda, "Earth Freybug, en az 2012'den beri aktif olan ve casusluk ve finansal olarak motive edilmiş faaliyetlere odaklanan bir siber tehdit grubudur" dedi.

"Farklı ülkelerde çeşitli sektörlerden kuruluşları hedef aldığı gözlemlendi."

Siber güvenlik firması, Earth Freybug'u Axiom, Brass Typhoon (eski adıyla Barium), Bronze Atlas, HOODOO, Wicked Panda ve Winnti olarak da izlenen Çin bağlantılı bir siber casusluk grubu olan APT41'in bir alt kümesi olarak tanımladı.

Düşman kolektifin, hedeflerini gerçekleştirmek için arazi dışında yaşayan ikili dosyalar (LOLBins) ve özel kötü amaçlı yazılımların bir kombinasyonuna güvendiği bilinmektedir. Ayrıca, dinamik bağlantı kitaplığı (DLL) ele geçirme ve uygulama programlama arabirimi (API) kancasını kaldırma gibi teknikler de benimsenmiştir.

Trend Micro, faaliyetin daha önce siber güvenlik şirketi Cybereason tarafından Doğu Asya, Batı Avrupa ve Kuzey Amerika'da bulunan teknoloji ve üretim şirketlerini hedef alan bir fikri mülkiyet hırsızlığı kampanyasına atıfta bulunan Operation CuckooBees adı altında açıklanan bir küme ile taktiksel örtüşmeler paylaştığını söyledi.

Saldırı zincirinin başlangıç noktası, "schtasks.exe" kullanarak zamanlanmış bir görev oluşturmak ve uzak makinede "cc.bat" adlı bir dosya dağıtmak için VMware Tools ("vmtoolsd.exe") ile ilişkili meşru bir yürütülebilir dosyanın kullanılmasıdır.

Kötü amaçlı kodun vmtoolsd.exe'e nasıl enjekte edildiği şu anda bilinmiyor, ancak dışarıya dönük sunucuların istismarını içerebileceğinden şüpheleniliyor.

Toplu komut dosyası, sistem bilgilerini toplamak ve virüslü ana bilgisayarda ikinci bir zamanlanmış görev başlatmak için tasarlanmıştır ve bu da UNAPIMON kötü amaçlı yazılımını çalıştırmak için aynı ada ("cc.bat") sahip başka bir toplu iş dosyası yürütür.

"İkinci cc.bat, kötü amaçlı bir DLL'yi yandan yüklemek için var olmayan bir kitaplığı yükleyen bir hizmetten yararlanması açısından dikkate değerdir," diye açıkladı So. "Bu durumda, hizmet SessionEnv'dir."

Bu, başka bir DLL dosyasını (yani UNAPIMON) bırakmaktan ve aynı DLL'yi cmd.exe'e eklemekten sorumlu olan TSMSISrv.DLL yürütülmesinin önünü açar. Aynı zamanda, DLL dosyası da savunmadan kaçınmak için SessionEnv'e enjekte edilir.

Bunun da ötesinde, Windows komut yorumlayıcısı, başka bir makineden gelen komutları yürütmek ve esasen onu bir arka kapıya dönüştürmek için tasarlanmıştır.

Basit bir C++ tabanlı kötü amaçlı yazılım olan UNAPIMON, kritik API işlevlerinin kancasını kaldırmak için Detours adlı açık kaynaklı bir Microsoft kitaplığından yararlanarak alt işlemlerin izlenmesini önlemek için donatılmıştır ve böylece kancalama yoluyla API izleme uygulayan korumalı alan ortamlarında tespit edilmekten kaçınır.

Siber güvenlik şirketi, kötü amaçlı yazılımı orijinal olarak nitelendirdi ve yazarın "kodlama becerisi ve yaratıcılığının" yanı sıra kötü niyetli eylemler gerçekleştirmek için kullanıma hazır bir kitaplık kullandıklarını belirtti.

Trend Micro, "Earth Freybug oldukça uzun bir süredir ortalıkta dolaşıyor ve yöntemlerinin zaman içinde geliştiği görüldü" dedi.

"Bu saldırı aynı zamanda basit tekniklerin bile doğru uygulandığında etkili bir şekilde kullanılabileceğini gösteriyor. Bu teknikleri mevcut bir saldırı düzenine uygulamak, saldırının keşfedilmesini zorlaştırır."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği