Çin APT Hacker, İmzalı Kötü Amaçlı Yazılımla BT Ve Telekom Sektörlerine Saldırdı

SentinelOne'daki güvenlik araştırmacıları tarafından WIP19 kod adıyla tespit edilen bir APT grubu var. Bu APT grubunun, saldırganların telekomünikasyon şirketlerini ve BT şirketlerini hedef aldığı Orta Doğu ve Asya'daki saldırıları.

Araştırmacılar, grubun siber casusluk amacıyla aktif olan Çince konuşan bir tehdit aktörü olduğuna inanıyorlardı.

Bu APT ve Gölge Gücü Operasyonu'nun bazı benzerlikleri paylaştığı ortaya çıktı. Bu kampanya, yeni geliştirilen kötü amaçlı yazılımları ve tehdit aktörleri tarafından tasarlanan teknikleri kullanmayı içerir.

Aktörler Geçerli Sertifikaları kötüye kullandı

Algılanmaktan kaçınmak için çalıntı sertifikalar kullanılarak WIP19 tarafından imzalanan birkaç kötü amaçlı bileşen vardır. Grubun tanımlayıcı özelliklerinden biri, meşru bir Kore şirketi olan DEEPSoft adlı bir şirket tarafından verilen çalıntı bir dijital sertifika kullanmasıdır.

Hiç şüphe yok ki, bu tehdit aktörü tarafından gerçekleştirilen tehditlerin neredeyse tamamı, öncelikle uygulamalı klavye yaklaşımı kullanılarak gerçekleştirilmiştir. Bu örnekte, saldırganla canlı etkileşimli bir oturum sırasında güvenliği ihlal edilmiş bir makine kullanılmıştır.

Gizliliğe ulaşmak için, saldırgan gizli bir iletişim yöntemi için kararlı bir C2 kanalı kullandı.

Rapora göre WIP19, saldırının bir parçası olarak WinEggDrop tarafından geliştirilen bazı bileşenleri kullanıyor. WinEggDrop, 2014 yılından bu yana çeşitli tehdit grupları tarafından kullanılan kötü amaçlı yazılım araçları oluşturdu.

Çalınan sertifikanın, tehdit aktörü tarafından kimlik bilgilerini toplamak için kullanılan tüm araçların imzalanmasında kullanıldığı belirtilmelidir.

Kullanılan Araç Türleri

Bu düşmanca kolektif, müdahalelerini monte etmek için ısmarlama bir dizi araç setinin yardımını alır. Kısacası, tehdit aktörleri tarafından saldırıları sırasında bir dizi araç kullanılmıştır ve burada aşağıda belirtilmiştir:

• Kimlik bilgisi damperi
• Ağ tarayıcısı
• Tarayıcı hırsızı
• Keylogger ve Ekran Kaydı (ScreenCap)
• ExtendedProcedure SQL (SQLMaggie)

Diğer bilgisayar korsanlığı araçlarının aksine, SQLMaggie, Microsoft SQL sunucularına nüfuz etme ve SQL sorguları aracılığıyla kolayca rasgele komutlar çalıştırma yeteneğine sahiptir.

Hedeflenen ortamın türüne bağlı olarak, arka kapının farklı sürümleri farklı komutları yürütebilir. Ayrıca, SQLMaggie'nin ya grup tarafından özel olarak kullanılabildiği ya da özel olarak da satılabileceği görülmektedir.

Çin casusluğunun, WIP19'un merceğinden bakıldığında, özellikle kritik altyapı endüstrileri olmak üzere çok daha geniş bir endüstri yelpazesinde gerçekleştirildiği açıktır.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.