‘Earth Longzhi’ adlı önceden bilinmeyen bir Çinli APT (gelişmiş kalıcı tehdit) hack grubu, Doğu Asya, Güneydoğu Asya ve Ukrayna’daki kuruluşları hedef alıyor.
Tehdit aktörleri, kurbanların sistemlerine kalıcı arka kapılar yerleştirmek için Cobalt Strike yükleyicilerinin özel sürümlerini kullanarak en az 2020’den beri aktif.
Yeni bir Trend Micro raporuna göre, Earth Longzhi, ‘ ile benzer TTP’ye (teknikler, taktikler ve prosedürler) sahiptir.Dünya Bakü,’ her ikisi de APT41 olarak izlenen devlet destekli bilgisayar korsanlığı grubunun alt grupları olarak kabul edildi.
Earth Longzhi’nin eski kampanyası
Trend Micro’nun raporu, Earth Longzhi tarafından yürütülen ve ilki Mayıs 2020 ile Şubat 2021 arasında gerçekleşen iki kampanyayı gösteriyor.
Bu süre zarfında, bilgisayar korsanları Tayvan’daki birkaç altyapı şirketine, Çin’deki bir bankaya ve Tayvan’daki bir devlet kuruluşuna saldırdı.
Bu kampanyada bilgisayar korsanları, aşağıdaki işlevleri içeren gelişmiş bir algılama önleme sistemine sahip özel Cobalt Strike yükleyici ‘Symatic’i kullandılar:
- API kancalarını ‘ntdll.dll’den kaldırın, ham dosya içeriğini alın ve bellek içi ntdll görüntüsünü güvenlik araçları tarafından izlenmeyen bir kopyayla değiştirin.
- Proses enjeksiyonu için yeni bir proses oluşturun ve zinciri şaşırtmak için ana prosesi maskeleyin.
- Yeni oluşturulan işleme şifresi çözülmüş bir yük enjekte edin.
Earth Longzhi, birincil operasyonları için, herkese açık çeşitli araçları tek bir paket altında birleştiren hepsi bir arada bir bilgisayar korsanlığı aracı kullandı.
Bu araç, bir Socks5 proxy’si açabilir, MS SQL sunucularında parola taramaları gerçekleştirebilir, Windows dosya korumasını devre dışı bırakabilir, dosya zaman damgalarını değiştirebilir, bağlantı noktalarını tarayabilir, yeni işlemler başlatabilir, RID sahtekarlığı gerçekleştirebilir, sürücüleri numaralandırabilir ve ‘SQLExecDirect’ ile komutları yürütebilir.
2022 kampanyası
Trend Micro tarafından gözlemlenen ikinci kampanya, Ağustos 2021’den Haziran 2022’ye kadar sürdü ve Filipinler’deki sigorta ve kentsel gelişim firmalarını ve Tayland ve Tayvan’daki havacılık firmalarını hedef aldı.
Bu daha yakın tarihli saldırılarda, Earth Longzhi, farklı şifre çözme algoritmaları ve performans (çoklu iş parçacığı) ve etkinlik (yemin belgeler) için ek özellikler kullanan yeni bir dizi özel Kobalt Saldırı yükleyicisi dağıttı.
Cobalt Strike yükünün bellekte çalışan yeni oluşturulmuş bir işleme enjeksiyonu, Symatic’tekiyle aynı kalır ve algılama riskini önlemek için diske asla dokunmaz.
BigpipeLoader’ın bir varyantı, yükleyiciyi (chrome.inf) çalıştırmak ve belleğe Kobalt Strike enjekte etmek için meşru bir uygulamada (wusa.exe) DLL yandan yüklemeyi (WTSAPI32.dll) kullanarak çok farklı bir yük yükleme zincirini izler.
Cobalt Strike hedef üzerinde çalıştıktan sonra, bilgisayar korsanları kimlik bilgilerini çalmak için Mimikatz’ın özel bir sürümünü kullanır ve ayrıcalık artışı için ‘PrintNghmare’ ve ‘PrintSpoofer’ istismarlarını kullanır.
Earth Longzhi, ana bilgisayarda güvenlik ürünlerini devre dışı bırakmak için, gerekli çekirdek nesnelerini değiştirmek için savunmasız bir sürücüyü (RTCore64.sys) kötüye kullanan ‘ProcBurner’ adlı bir araç kullanır.
“ProcBurner, belirli çalışan süreçleri sonlandırmak için tasarlanmıştır,” Raporda Trend Micro’yu açıklıyor.
“Basitçe söylemek gerekirse, savunmasız RTCore64.sys kullanarak çekirdek alanındaki erişim iznini zorla yamalayarak hedef işlemin korumasını değiştirmeye çalışır.”
Özellikle, aynı MSI Afterburner sürücüsü BlackByte fidye yazılımı tarafından da kullanılır Binlerce güvenlik korumasını atlamak için onu kötüye kullanan Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırılarında.
ProcBurner, çekirdek yama işlemi sürüme bağlı olarak değiştiğinden önce işletim sistemini algılar. Araç aşağıdaki sürümleri destekler:
- Windows 7 SP1
- Windows Server 2008 R2 SP1
- Windows 8.1
- Windows Server 2012 R2
- Windows 10 1607, 1809, 20H2, 21H1
- Windows Sunucu 2018 1809
- Windows 11 21H2, 22449, 22523, 22557
İkinci bir koruma olumsuzlama aracı olan ‘AVBurner’, güvenlik açığı bulunan sürücüyü, çekirdek geri çağırma rutinini kaldırarak güvenlik ürünlerinin kaydını silmek için kötüye kullanır.
emtia + özel
APT grupları, izlerini gizlemek ve ilişkilendirmeyi zorlaştırmak için emtia kötü amaçlı yazılımlarına ve Kobalt Strike gibi saldırı çerçevelerine giderek daha fazla güveniyor.
Bununla birlikte, sofistike bilgisayar korsanları, gizli yük yüklemesi ve güvenlik yazılımını atlamak için özel araçlar geliştirmeye ve kullanmaya devam ediyor.
Bu taktikleri takip ederek, Earth Longzhi en az 2,5 yıldır tespit edilmemeyi başardı ve bunu takip etti. maruziyet Trend Micro tarafından yeni taktiklere geçmeleri muhtemeldir.