Antlion olarak bilinen Çin devlet destekli tehdit grubu, son 18 ay içinde Tayvan’daki en az altı finans kurumunu hedef alarak, güvenliği ihlal edilmiş sistemlere özel bir arka kapı programı kurdu ve şirketlerden hassas verileri sızdırdı.
Broadcom’un güvenlik bölümü Symantec, kampanyayla ilgili yaptığı analizde, siber casusluk grubunun, yaklaşık altı ay boyunca bir imalat firmasının ağını ve sekiz aydan fazla bir süredir bir finans kuruluşunu keşfederek kurbanların ağlarında uzun vadeli bir varlık sürdürdüğünü belirtti. . Geçmişte, bazen Korsan Panda ve Tropic Trooper olarak bilinen Antlion, Hindistan, Vietnam ve Filipinler gibi Güney Çin Denizi yakınında bulunan bir dizi ülkede hedeflere casusluk yaptı.
Symantec’in Threat Hunter Team analistlerinden Alan Neville, yakın zamanda Antlion grubunun ticari iletişim bilgilerini, işlem verilerini ve yatırım yazılımlarını çalmak için arazi dışında yaşama tekniklerini kullanarak Tayvan’daki finans kuruluşlarını hedef aldığını söylüyor.
“Sadece gerçek hedefleri hakkında spekülasyon yapabiliriz” diyor. “Grubun iyi organize olduğu ve profesyonel olduğu açık, saldırganların güvenliği ihlal edilmiş ağlarda uzun süre aktif kaldıklarını ve bu saldırıları finansal kuruluşlara paralel olarak gerçekleştirebildiklerini görebiliyoruz.”
Saldırılar, Çin ile Tayvan arasında siyasi statüsü konusunda artan gerilimlerle aynı zamana denk geliyor. Geçen yıl boyunca Çin, Tayvan yakınlarındaki askeri faaliyetlerini artırdı ve siber saldırılar bu politikanın bir uzantısı gibi görünüyor.
İçinde en son analiz, Symantec’in tehdit avı ekibi, siber casusluk grubunu iki farklı finans kurumuna ve bir üretim şirketine izinsiz girişlerle ilişkilendirdi. Ancak Neville, geçtiğimiz yıl boyunca tehdit avı ekibinin altı finans kurumuna yönelik saldırıları araştırdığını ve Antlion’un hükümet, ulaşım ve medya sektörlerindeki tipik olarak daha geniş hedef yelpazesinden uzaklaştığını açıklıyor.
Çalınan Kimlik Bilgileri
Antlion’un cephaneliğindeki ortak unsurlar arasında, saldırganların uzaktan Windows Yönetim Araçları (WMI) komutları vererek güvenliği ihlal edilmiş sistemlere kapsamlı erişime izin veren xPack adlı özel bir arka kapı bulunuyor. Saldırganlar ayrıca, dosyaların güvenliği ihlal edilmiş sistemlerden yeni virüs bulaşmış makinelere kopyalanmasına izin vermek için SMB paylaşımlarını da kullandılar. Grup ayrıca kimlik bilgileri için geniş aramalar yaptı ve hassas bilgileri daha sonra kullanmak üzere sızdırdı.
xPack arka kapısı, ilk erişime odaklanan ve yeni özelliklerin indirilmesine, şifresinin çözülmesine ve güvenliği ihlal edilmiş makinelerde yürütülmesine izin veren özel bir .NET yükleyicisidir.
Symantec’in analizine göre, Aralık 2020’de bir finans şirketine yapılan bir saldırıda, saldırganlar güvenliği ihlal edilen sistem hakkında bilgi toplamak için WMI komutlarını kullandı ve birkaç dakika içinde kimlik bilgilerini attı. Ay sonu tatillerinde, saldırganlar yatay olarak diğer sistemlere geçerek 2021 yazının başlarına kadar kimlik bilgilerini toplamaya devam etti.
Symantec’in Tehdit Avı Ekibi analizde, “Antlion’un en az 2011’den beri casusluk faaliyetlerine karıştığına inanılıyor ve bu son aktivite, ilk ortaya çıkmasından 10 yıldan fazla bir süre sonra hala farkında olunması gereken bir aktör olduğunu gösteriyor.” “Antlion’un kurban ağlarında geçirebildiği süre dikkate değerdir, grup kurban ağlarında birkaç ay geçirebilir ve virüslü kuruluşlardan potansiyel olarak hassas bilgileri aramak ve sızdırmak için bolca zaman ayırabilir.”
Antlion Tipi Saldırılara Karşı Nasıl Savunma Yapılır?
WMI komutlarının, SMB paylaşımlarının ve diğer arazi dışında yaşama tekniklerinin kullanımı nedeniyle, şirketler ağ içinde çift kullanımlı programların kullanımını izlemeli, PowerShell’i güncel tutma ve yalnızca belirli kaynaklardan RDP’ye izin verme gibi politikaları uygulamalıdır. , bilinen IP adresleri, Symantec’ten Neville diyor.
“Bu araçların çoğu, saldırganlar tarafından bir ağ üzerinden yanal olarak tespit edilmeden hareket etmek için kullanılıyor” diyor. “Enine boyuna konuşma, [companies] potansiyel saldırı zincirinin her noktasındaki riski azaltmak için çoklu algılama, koruma ve güçlendirme teknolojileri kullanan derinlemesine bir savunma stratejisi benimsemelidir.”