Çince konuşan bilinmeyen bir tehdit aktörü, Tayvan, Hong Kong ve Filipinler’deki bahis şirketlerini hedef alıyor ve hedeflenen sistemlere bir arka kapı yerleştirmek için WPS Office’teki bir güvenlik açığından yararlanıyor.
Düşman sofistike görünüyor ve araç seti, Palo Alto ve BlackBerry tarafından sırasıyla iki 2015 ve 2017 raporunda analiz edilen APT grup arka kapıları ile kod benzerlikleri içeriyor.
En yeni kampanya, zengin, modüler bir araç seti derleyen tehdit aktörlerinden çeşitli kötü amaçlı yazılım araçlarını örnekleyen Avast araştırmacıları tarafından fark edildi.
Bir WPS Office kusurunu hedefleme
Bu kampanyada kullanılan ilk bulaşma vektörü, kritik bir WPS Office güncellemesi gibi görünen, bağlı bir yükleyiciye sahip bir e-postadır, ancak çoğu saldırıda tehdit aktörleri farklı bir yöntem kullanır.
Bu kampanyada ağırlıklı olarak kullanılan ikinci enfeksiyon vektörü, WPS Office güncelleyici yardımcı programında bir güvenlik açığı olan CVE-2022-24934’ten yararlanıyor.
WPS Office (eski adıyla Kingsoft Office), 1,2 milyardan fazla kuruluma sahip bir çapraz platform ofis paketidir. Tarihsel olarak Çince’yi destekleyen ilk kelime işlemci olduğu için Hong Kong ve Çin’de kullanımı yaygındır.
CVE-2022-24934’ten yararlanma, C2 ile bir iletişim kanalı kurulmasına, ek yüklerin getirilmesine ve güvenliği ihlal edilmiş makinede kod çalıştırılmasına yol açar.
“Açıklıktan yararlanmak için, HKEY_CURRENT_USER altındaki bir kayıt defteri anahtarının değiştirilmesi gerekiyor ve bunu yaparak saldırgan sistemde kalıcılık ve güncelleme süreci üzerinde kontrol kazanıyor.” Avast’ı açıklıyor teknik raporunda.
Avast, yazılım satıcısına, oyuncuların keyfi olarak kod yürütmesine olanak tanıyan güvenlik açığı hakkında bilgi verdi ve bir yama yayınlanmış olmasına rağmen, güvenlik güncellemesini henüz herkes uygulamadı.
Zengin ve karmaşık araç seti
Güvenliği ihlal edilmiş sisteme yerleştirilen ilk aşama yükleri, C2 iletişimi için bir DLL arka kapısı ve sistemdeki ayrıcalıkları yükselten bir damlalık içerir. İkincisi, çeşitli işlevsel rolleri yerine getiren sekiz yük getirir.
İkinci aşamada, “Proto8” çekirdek modülü, güvenliği ihlal edilmiş sisteme yüklenir ve dört aşamalı basamaklı bir yapı ortaya çıkar.
- İlk kontrolleri yapar ve kaçınma mekanizmalarını kurar.
- Modül kendi kendini günceller, yapılandırma dosyalarını yükler ve çalışma dizinini kurar.
- Kullanıcı adı, DNS, NetBios bilgisayar adı, işletim sistemi, mimari gibi bilgileri toplar ve çağrı işlevlerini önceden yükler.
- Sabit kodlanmış C2 adreslerini doğrulayın ve aktör kontrollü sunucuya ulaşmaya çalışın.
Yukarıdakiler yapıldıktan sonra, çekirdek modül, aşağıdakilerden biri olabilen uzak komutların gelmesini bekler:
- Toplanan verileri C2 sunucusuna gönder
- Tüm Uzak Masaüstü oturumlarının kullanıcı adını, etki alanı adını ve bilgisayar adını bulun
- Kök diskleri numaralandır
- Dosyaları numaralandırın ve erişim ve oluşturma ayrıntılarını bulun
- Çalınan, çoğaltılan bir belirteçle bir süreç oluşturun
- Dosyaları yeniden adlandır
- Dosyaları sil
- Bir dizin oluşturun
- API işlevi aracılığıyla hata kodu gönder
- Belirli bir klasördeki dosyaları numaralandırma
- C2 sunucusuna bir dosya yükleyin
- C2’den indirilen dosyaları barındırmak için bir dizin oluşturun
Proto8 ayrıca, her eklentinin kalıcılık, UAC’yi atlama, arka kapı yetenekleri, kaçınma vb. ile ilgili çeşitli işlevler sunduğu bir eklenti yükleme sistemine sahiptir.
Bu eklentilerden biri, yönetici parolası olmadan makineye RDP bağlantıları kurmak için kötüye kullanılan yeni bir kullanıcı hesabı oluşturmak için kayıt defteri manipülasyonu gerçekleştirir.
Bu eklenti, anonim SID’nin Windows’taki herkes grubunun bir parçası olmasını sağlar, “Boş Oturum” kullanıcılarının paylaşılan ağ klasörlerine erişmesine izin verir ve tüm uygulamaların tam ayrıcalıklarla çalışmasını sağlamak için yönetici onay gereksinimlerini devre dışı bırakır.
Karanlık kampanya hedefleri
Avast bu kampanyayı bilinen herhangi bir aktöre atfetmese de, bunun istihbarat toplamak veya finansal kazanç elde etmek isteyen Çinli bir APT’nin işi olduğuna inanıyorlar.
Bahis şirketleri olan hedeflerin doğası göz önüne alındığında, tehdit aktörlerinin amacı finansal bilgileri çalmak veya hesapları devralmak ve emanet bakiyelerini nakde çevirmek olabilir.
Kampanyada kullanılan taktikler ve güçlü araç seti, yetenekli bir düşmanı yansıtıyor, bu nedenle yüksek güvenle atıf yapamamak bir şekilde bekleniyor.