Çinli LuoYu'nun Hacker Grubu, WinDealer Arka Kapısı (BackDoor) Dağıtmak İçin Man-on-the-Side Saldırılarını Kullanıyor

LuoYu olarak izlenen sofistike bir Çinli APT grubu, Kaspersky Lab'deki güvenlik uzmanları tarafından yakın zamanda tespit edildi. WinDealer adlı kötü amaçlı bir Windows aracının bu Çinli APT grubu tarafından kullanıldığı gözlemlendi.

Kötü amaçlı Windows aracı WinDealer, öncelikle kötü amaçlı yükleri meşru uygulama güncellemelerinin yerine yerleştirerek yan yana adam saldırısı olarak bilinen gizli kötü amaçlı mekanizma aracılığıyla yayılır.

Tehdit aktörleri, popüler Asya sosyal uygulamalarına bağlı uygulamaların uygulama güncellemeleri isteyip istemediğini belirlemek amacıyla hedeflerinin ağ trafiğini izlemek için bu yayılma biçimini kullanır.

Yasal uygulama güncellemesini bulduklarında, güncellemeyi hemen kötü amaçlı WinDealer yükleyicileriyle değiştirirler.

WinDealer Tarafından Sunulan Yetenekler

WinDealer dağıtıldığında, saldırganlara saldırılarında yardımcı olur ve birden fazla gelişmiş yetenek sağlar. Ve burada WinDealer tarafından sunulan tüm yeteneklerden bahsettik:

• Güvenliği ihlal edilmiş sistemdeki bir veritabanında arama yaparak büyük miktarda veri bulma.
• Güvenliği ihlal edilmiş sistemden sifonlayarak büyük miktarda veri ayıklama.
• Arka kapılar takarak saldırının sürekliliğini sağlama.
• Dosyaları değiştirme.
• Donanım ayrıntılarını toplama.
• Ağ yapılandırması ve/veya klavye düzeni.
• Çalışan işlemleri listeleme.
• Popüler mesajlaşma uygulamalarının (Skype, QQ, WeChat ve Wangwang) yüklü uygulamaları ve yapılandırma dosyaları.
• Ekran görüntüsü yakalama.
• Ping taraması ile ağ keşfetme.
• Ağda istismar edilebilecek diğer cihazları arama.
• Rasgele komutları çalıştırın ve yürütme.
• Rastgele dosyaların indirilmesi ve yükleme.

Teknik Analiz

2008'den beri LuoYu Çin'de faaliyet gösteriyor ve ağırlıklı olarak Çin hedeflerine odaklandı:

• Ülkede kurulan yabancı diplomatik kuruluşlar
• Akademik topluluğun üyeler
• Savunmadan şirketler
• Lojistikler
• Telekomünikasyon sektörler

WinDealer sunucusu, Xizang ve Guizhou eyaletlerinden ChinaNet (AS4134) tarafından sağlanan 48.000 IP adresi arasından rastgele bir IP adresi seçer ve ona bağlanır.

Kaspersky kıdemli güvenlik araştırmacısı Suguru Ishimau'nun söyledikleri şöyle:

"Yan yana saldırılar son derece yıkıcıdır, çünkü bir cihaza saldırmak için gereken tek koşul internete bağlı olmasıdır. Saldırı nasıl gerçekleştirilirse gerçekleştirilsin, potansiyel kurbanların kendilerini savunmalarının tek yolu son derece uyanık kalmak ve sağlam güvenlik prosedürlerine sahip olmaktır."

Ayrıca, Kaspersky'den GReAT (Küresel Araştırma ve Analiz Ekibi), aşağıdakiler de dahil olmak üzere diğer ülkelerde bazı enfeksiyonlar tespit etti:

• Almanya
• Avusturya
• Amerika Birleşik Devletleri
• Çek Cumhuriyeti
• Rusya
• Hindistan

LuoYu APT grubunun operatörlerinin daha önce WinDealer kullanan Windows cihazlarını değil, aynı zamanda macOS, Linux ve Android cihazlarını da Demsty ve SpyDealer adlı kötü amaçlı yazılımlarla hedefledikleri gözlemlenmişti.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.