Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Yeni bilgisayar korsanlığı grubu, özel ‘Symatic’ Cobalt Strike yükleyicileri kullanıyor

Kapşonlu giyen ve dumanı dışarı fışkırtan kişi

‘Earth Longzhi’ adlı önceden bilinmeyen bir Çinli APT (gelişmiş kalıcı tehdit) hack grubu, Doğu Asya, Güneydoğu Asya ve Ukrayna’daki kuruluşları hedef alıyor.

Tehdit aktörleri, kurbanların sistemlerine kalıcı arka kapılar yerleştirmek için Cobalt Strike yükleyicilerinin özel sürümlerini kullanarak en az 2020’den beri aktif.

Yeni bir Trend Micro raporuna göre, Earth Longzhi, ‘ ile benzer TTP’ye (teknikler, taktikler ve prosedürler) sahiptir.Dünya Bakü,’ her ikisi de APT41 olarak izlenen devlet destekli bilgisayar korsanlığı grubunun alt grupları olarak kabul edildi.

APT41 alt grup diyagramı
APT41 alt grup diyagramı (Trend Mikro)

Earth Longzhi’nin eski kampanyası

Trend Micro’nun raporu, Earth Longzhi tarafından yürütülen ve ilki Mayıs 2020 ile Şubat 2021 arasında gerçekleşen iki kampanyayı gösteriyor.

Bu süre zarfında, bilgisayar korsanları Tayvan’daki birkaç altyapı şirketine, Çin’deki bir bankaya ve Tayvan’daki bir devlet kuruluşuna saldırdı.

İlk kampanyanın zaman çizelgesi
İlk kampanyanın zaman çizelgesi (Trend Mikro)

Bu kampanyada bilgisayar korsanları, aşağıdaki işlevleri içeren gelişmiş bir algılama önleme sistemine sahip özel Cobalt Strike yükleyici ‘Symatic’i kullandılar:

  • API kancalarını ‘ntdll.dll’den kaldırın, ham dosya içeriğini alın ve bellek içi ntdll görüntüsünü güvenlik araçları tarafından izlenmeyen bir kopyayla değiştirin.
  • Proses enjeksiyonu için yeni bir proses oluşturun ve zinciri şaşırtmak için ana prosesi maskeleyin.
  • Yeni oluşturulan işleme şifresi çözülmüş bir yük enjekte edin.

Earth Longzhi, birincil operasyonları için, herkese açık çeşitli araçları tek bir paket altında birleştiren hepsi bir arada bir bilgisayar korsanlığı aracı kullandı.

Bu araç, bir Socks5 proxy’si açabilir, MS SQL sunucularında parola taramaları gerçekleştirebilir, Windows dosya korumasını devre dışı bırakabilir, dosya zaman damgalarını değiştirebilir, bağlantı noktalarını tarayabilir, yeni işlemler başlatabilir, RID sahtekarlığı gerçekleştirebilir, sürücüleri numaralandırabilir ve ‘SQLExecDirect’ ile komutları yürütebilir.

2022 kampanyası

Trend Micro tarafından gözlemlenen ikinci kampanya, Ağustos 2021’den Haziran 2022’ye kadar sürdü ve Filipinler’deki sigorta ve kentsel gelişim firmalarını ve Tayland ve Tayvan’daki havacılık firmalarını hedef aldı.

İkinci kampanyanın zaman çizelgesi
İkinci kampanyanın zaman çizelgesi (Trend Mikro)

Bu daha yakın tarihli saldırılarda, Earth Longzhi, farklı şifre çözme algoritmaları ve performans (çoklu iş parçacığı) ve etkinlik (yemin belgeler) için ek özellikler kullanan yeni bir dizi özel Kobalt Saldırı yükleyicisi dağıttı.

Son kampanyada kullanılan farklı yükleyiciler
Son kampanyada kullanılan farklı yükleyiciler (Trend Mikro)

Cobalt Strike yükünün bellekte çalışan yeni oluşturulmuş bir işleme enjeksiyonu, Symatic’tekiyle aynı kalır ve algılama riskini önlemek için diske asla dokunmaz.

BigpipeLoader’ın bir varyantı, yükleyiciyi (chrome.inf) çalıştırmak ve belleğe Kobalt Strike enjekte etmek için meşru bir uygulamada (wusa.exe) DLL yandan yüklemeyi (WTSAPI32.dll) kullanarak çok farklı bir yük yükleme zincirini izler.

Earth Longzhi saldırılarında kullanılan en son yükleyici çeşidi
Earth Longzhi saldırılarında kullanılan en son yükleyici çeşidi (Trend Mikro)

Cobalt Strike hedef üzerinde çalıştıktan sonra, bilgisayar korsanları kimlik bilgilerini çalmak için Mimikatz’ın özel bir sürümünü kullanır ve ayrıcalık artışı için ‘PrintNghmare’ ve ‘PrintSpoofer’ istismarlarını kullanır.

Earth Longzhi, ana bilgisayarda güvenlik ürünlerini devre dışı bırakmak için, gerekli çekirdek nesnelerini değiştirmek için savunmasız bir sürücüyü (RTCore64.sys) kötüye kullanan ‘ProcBurner’ adlı bir araç kullanır.

“ProcBurner, belirli çalışan süreçleri sonlandırmak için tasarlanmıştır,” Raporda Trend Micro’yu açıklıyor.

“Basitçe söylemek gerekirse, savunmasız RTCore64.sys kullanarak çekirdek alanındaki erişim iznini zorla yamalayarak hedef işlemin korumasını değiştirmeye çalışır.”

ProcBurner fonksiyon şeması
ProcBurner fonksiyon şeması (Trend Mikro)

Özellikle, aynı MSI Afterburner sürücüsü BlackByte fidye yazılımı tarafından da kullanılır Binlerce güvenlik korumasını atlamak için onu kötüye kullanan Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırılarında.

ProcBurner, çekirdek yama işlemi sürüme bağlı olarak değiştiğinden önce işletim sistemini algılar. Araç aşağıdaki sürümleri destekler:

  • Windows 7 SP1
  • Windows Server 2008 R2 SP1
  • Windows 8.1
  • Windows Server 2012 R2
  • Windows 10 1607, 1809, 20H2, 21H1
  • Windows Sunucu 2018 1809
  • Windows 11 21H2, 22449, 22523, 22557

İkinci bir koruma olumsuzlama aracı olan ‘AVBurner’, güvenlik açığı bulunan sürücüyü, çekirdek geri çağırma rutinini kaldırarak güvenlik ürünlerinin kaydını silmek için kötüye kullanır.

AVBurner fonksiyon şeması
AVBurner fonksiyon şeması (Trend Mikro)

emtia + özel

APT grupları, izlerini gizlemek ve ilişkilendirmeyi zorlaştırmak için emtia kötü amaçlı yazılımlarına ve Kobalt Strike gibi saldırı çerçevelerine giderek daha fazla güveniyor.

Bununla birlikte, sofistike bilgisayar korsanları, gizli yük yüklemesi ve güvenlik yazılımını atlamak için özel araçlar geliştirmeye ve kullanmaya devam ediyor.

Bu taktikleri takip ederek, Earth Longzhi en az 2,5 yıldır tespit edilmemeyi başardı ve bunu takip etti. maruziyet Trend Micro tarafından yeni taktiklere geçmeleri muhtemeldir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.