Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Winnti bilgisayar korsanları, tespit edilmekten kaçınmak için Kobalt Strike’ı 154 parçaya böldü


Çin

‘APT41’ veya ‘Wicked Spider’ olarak da bilinen Çinli Winnti hack grubu, geçen yıl en az 80 kuruluşu hedef aldı ve en az on üç ağı başarıyla ihlal etti.

Bu, Wintti’nin faaliyetlerini takip eden ve 2021’i Çinli bilgisayar korsanları için en “yoğun” yıllardan biri olarak tanımlayan Group-IB araştırmacılarına göre.

Araştırmacılar, Wintti’nin ABD’de konaklama ve yazılım geliştirme firmalarını, Hindistan’da bir havacılık firmasını, Tayvan’da hükümet, üretim ve medya kuruluşlarını ve hatta Çin’deki yazılım satıcılarını hedef aldığını söylüyor.

2021'de Winnti'nin saldırdığı kuruluşlar
2021’de Winnti tarafından ihlal edilen kuruluşlar (Grup-IB)

Kampanyalarını kolaylaştırmak için Winnti ayrıca İngiltere, İrlanda ve Hong Kong’daki üniversite web sitelerini, Tayland askeri portallarını ve Hindistan hükümetine ait çeşitli siteleri tehlikeye attı.

2021 Winnti operasyonlarında kullanılan güvenliği ihlal edilmiş altyapı
2021 Winnti operasyonlarında kullanılan güvenliği ihlal edilmiş altyapı (Grup-IB)

Bu kampanyaların bir parçası olarak Winnti, kötü niyetli operasyonlarında kimlik avı, sulama delikleri, tedarik zinciri saldırıları ve çok sayıda SQL enjeksiyonu gibi çeşitli yöntemler kullandı.

Hedeflenen ağlardaki güvenlik açıklarını bulmak veya bunların içinde yanlamasına yayılmak için, tehdit aktörleri Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute, Sublist3r ve “saygıdeğer” Cobalt Strike gibi emtia ve özel yazılımların bir karışımını kullandılar.

Kobalt Strike işaretlerini gizleme

Wintti’nin Cobalt Strike işaretleri için benzersiz dağıtım yöntemlerinden biri, yazılım tarafından algılanmaktan kaçınmak için ana bilgisayardaki yükün gizlenmesini içeriyordu.

Göre Grup-IB raporubilgisayar korsanları yükü base64’te kodlar ve 775 karakterden oluşan çok sayıda küçük parçaya böler ve daha sonra aşağıda gösterildiği gibi dns.txt adlı bir metin dosyasına yansıtılır.

Cobalt Strike işaretlerini küçük Base64 kodlu parçalara bölmek
Cobalt Strike işaretlerini küçük Base64 kodlu parçalara bölmek

Bazı durumlarda, yükü bir dosyaya yazmak için bu eylemin 154 tekrarı gerekti, ancak diğerlerinde Winnti, yinelemeleri azaltmak için yığın boyutunu 1.024 karaktere çıkardı.

Yürütülebilir Cobalt Strike dosyasını yeniden oluşturmak ve başlatmak için tehdit aktörleri, aşağıda belirtildiği gibi Certutil LOLBin’i kullanır:

certutil -decode C:\dns.txt C:\dns.exe
certutil -hashfile C:\dns.exe
copy C:\dns.exe C:\WINDOWS\dns.exe
move C:\dns.exe C:\windows\mciwave.exe

Winnti’nin Cobalt Strike dağıtımına ilişkin bir başka benzersiz yaklaşım, Microsoft, Facebook ve Cloudflare’ı taklit eden 106’dan fazla özel SSL sertifikasına sahip dinleyiciler kullanmaktır.

Bu sertifikalar, C2 sunucularındaki dinleyicilerin yalnızca yerleşik beacon’lardan gelen bağlantıları kabul etmesini, meraklı araştırmacıları veya meraklı bilgisayar korsanlarını dışarıda tutmasını sağlar.

Çalışma saatleri

Tehdit grubunun etkinliğini bu kadar uzun süre takip eden Group-IB, bilgisayar korsanlarının belirli bir programı takip etme eğiliminde olan çalışma saatlerine göre yaklaşık konumunu tahmin edebilecek bir konumdadır.

Grup, UTC+8 saat diliminde sabah 09:00’da çalışmaya başlar ve öğleden sonra 19:00 civarında sona erer.

Winnti'nin çalışma saatleri ve yaklaşık konumu
Winnti’nin çalışma saatleri ve yaklaşık konumu (Grup-IB)

Bu, hack grubunu Malezya, Singapur, Rusya, Avustralya ve Çin’deki hedeflere karşı gerçek zamanlı operasyonlar için iyi bir konuma getiriyor.

Özellikle, Winnti hafta sonları çok az saat oturum açtı, ancak Pazar günleri muhtemelen yeterli sayıda personele sahip olmayan BT ekipleri tarafından fark edilmeyecek eylemleri gerçekleştirmek için bazı faaliyetler gözlemlendi.

Gölgelerde gizlenen

Araştırmacılar Winnti operasyonlarını ısrarla takip etseler bile, sofistike Çinli grup iyi saklanıyor ve siber casusluk operasyonlarını engellenmeden sürdürüyor.

Bununla birlikte, Group-IB’nin raporu, bilgisayar korsanlığı grubunun taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) özetleyerek ve Winnti’nin anlaşılması zor olmayı başardığını doğrulayarak boşlukları doldurmaya yardımcı olur.

Ocak 2022’de Kaspersky’deki araştırmacılar, gelişmiş bir teknoloji olan ‘MoonBounce’ı keşfettiler. UEFI ürün yazılımı implantı Vahşi doğada Winnti tarafından yüksek profilli kuruluşlara karşı konuşlandırıldı.

Mart 2022’de Mandiant şunları bildirdi: Winnti hükümet ağlarını ihlal etti altı ABD eyaletinde Cisco ve Citrix açıklarından yararlanıyor.

Mayıs 2022’de Cybereason tarafından hazırlanan bir rapor, devam etmekte olan daha önce bilinmeyen bir operasyonun haritasını çıkardıktan sonra Winnti’nin cephaneliği ve TTP’leri (teknikler, taktikler ve prosedürler) hakkında çok şey ortaya çıkardı. en az 2019’dan beri.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.