Ocak ayında tespit edilen kapsamlı bir dizi saldırı, Doğu Avrupa’daki çeşitli ülkelerden devlet kurumlarının ve savunma sanayiindeki kuruluşların arka kapısına yeni Windows kötü amaçlı yazılımları kullandı.
Kaspersky, kampanyayı, bilgi hırsızlığı ve casusluk odağı ve Asya ve Doğu Avrupa’daki organizasyonlara saldırmasıyla tanınan TA428 olarak izlenen Çinli bir APT grubuyla ilişkilendirdi. [1, 2, 3, 4].
Tehdit aktörleri, güvenlik çözümlerini yönetmek için kullanılan sistemleri ele geçirerek, hatta bazen tüm BT altyapılarının kontrolünü ele geçirerek düzinelerce hedefin ağlarını başarıyla ele geçirdi.
Kaspersky ICS CERT araştırmacıları, “Saldırı, Afganistan’ın yanı sıra çeşitli Doğu Avrupa ülkelerindeki (Beyaz Rusya, Rusya ve Ukrayna) endüstriyel tesisleri, tasarım bürolarını ve araştırma enstitülerini, devlet kurumlarını, bakanlıkları ve departmanları hedef aldı.” Dedi.
“Olayların soruşturulması sırasında elde edilen bilgilerin analizi, bu saldırı serisinin amacının siber casusluk olduğunu gösteriyor.”
Siber casusluk için konuşlandırılan yeni arka kapı
Çinli siber casuslar, amaçlarına ulaşmak için, hedeflenen kuruluşlar hakkında gizli bilgiler içeren hedef odaklı kimlik avı e-postaları ve PortDoor kötü amaçlı yazılımını dağıtmak için CVE-2017-11882 Microsoft Office güvenlik açığından yararlanan kötü amaçlı kodlar kullandı.
PortDoor ayrıca mızrakla kimlik avı saldırılarında da kullanıldı Nisan 2021’de Çin destekli bilgisayar korsanları tarafından koordine edildi Rus Donanması için denizaltılar tasarlayan bir savunma müteahhitinin sistemlerine girmek.
Saldırının sonraki aşamalarında grup, geçmişte TA428 ile bağlantılı ek kötü amaçlı yazılımlar (ör. nccTrojan, Logtu, Cotx ve DNSep) ve daha önce hiç görülmemiş bir kötü amaçlı yazılım türü olan CotSam.
Bu kampanyada kullanılan diğer aileler gibi, yeni arka kapı da saldırganların güvenliği ihlal edilmiş sistemlerden sistem bilgilerini ve dosyalarını toplamasına ve çalmasına olanak tanır.
Saldırganlar CotSam’ı teslim etmek için, yük ile birlikte Microsoft Word’ün savunmasız bir sürümünü dahil edecek kadar ileri gittiler (32-bit sistemlerde Microsoft Word 2007 ve 64-bit sistemlerde Microsoft Word 2010).
Çalınan veriler Çin sunucusuna iletildi
Ağ taraması, güvenlik açığı araması ve istismarı ve Ladon hackleme yardımcı programı (Çinli tehdit aktörleri arasında popüler) gibi parola saldırıları yapabilen araçları kullanarak kurbanlarının kurumsal ağlarında yanlamasına hareket ettikten sonra, etki alanı ayrıcalıkları kazandılar ve gizli dosyaları topladılar.
Daha sonra bunları şifreli ve parola korumalı ZIP arşivleri olarak farklı ülkelerden komut ve kontrol (C2) sunucularına gönderdiler.
Ancak tüm bu çalınan veriler C2 sunucuları tarafından Çin IP adresine sahip ikinci aşama bir sunucuya iletildi.
Bu kampanyayı TA428’e bağlayan kanıtlar, grubun önceki etkinliğiyle taktik, teknik ve prosedürlerde (TTP’ler) önemli örtüşmeler, Rus hedeflerine yönelik diğer saldırılarda kullanılan ilk kötü amaçlı yazılım yükünü sağlamak için aynı istismar, Çinli tehdit aktörleri tarafından yaygın olarak kullanılan kötü amaçlı araçlar içeriyor ve Çin çalışma saatleri içinde virüslü sistemlere düzinelerce bağlantı.
Ayrıca araştırmacılar, diğer satıcılar tarafından bu Çinli APT grubuna bağlanan saldırılarda daha önce kullanılan kötü amaçlı yazılım ve C2 sunucularını da belirledi.
“Tespit ettiğimiz saldırı serisinin, ABD’nin araştırmasında açıklanan bilinen kampanyanın bir uzantısı olduğuna inanıyoruz. siber mevsim, DrWebve NTTGüvenlik,” Kaspersky katma.
“Bu, kurbanların seçiminden eşleşen CnC sunucularına kadar çok sayıda gerçek ve belirlediğimiz çok sayıda kanıtla destekleniyor.”