Araştırmacılar, gelişmiş tehdit algılama çözümlerinden kaçınabilen “eski” bir Çin kötü amaçlı yazılımının bir kez daha vahşi doğada tespit edildiğini söylüyor.
Symantec uzmanları bir yayınlamış rapor Şirketin şimdiye kadar gözlemleme şansına sahip olduğunu söylediği “en gelişmiş kötü amaçlı yazılım parçası” Daxin hakkındaki bulgularını detaylandırıyor.
Ekip, Daxin’in kırılması zor kurumsal ağlardaki uç noktalardan veri sızdırmak ve bunlar üzerinde kontrol kazanmak için tasarlanmış gizli bir arka kapı olduğunu iddia ediyor.
Sonunda görüldü
Rapora göre Daxin, Çin hükümetiyle bağları olan bir tehdit aktörü olan Owlproxy olarak da bilinen Slug tarafından oluşturuldu. İlk olarak 2013’te tespit edildi ve on yıl önce bile, son teknoloji antivirüs çözümlerinden algılanmayı önleyebiliyordu.
2020 ve 2021 boyunca telekomünikasyon, ulaşım ve üretim şirketlerini hedef alarak yeniden ortaya çıktığında 2019’un sonlarına kadar (veya güvenlik uzmanları onu tespit edemedi, ki bu da büyük olasılıkla) hareketsiz kaldı.
Daxin’i diğer kötü amaçlı yazılımlardan ayıran şey, atipik formu ve C2 sunucusuyla iletişimini gizleme şeklidir. Kötü amaçlı yazılım, ağ trafiğindeki kalıpları arayan bir Windows çekirdek sürücüsü olarak tanımlanır.
Bir kalıp tespit ettiğinde, meşru TCP bağlantısını ele geçirecek ve veri göndermek ve daha fazla talimat almak için bunu kullanacaktır.
Symantec, “Yetenekleri ve konuşlandırılmış saldırılarının doğası göz önüne alındığında, Daxin, sertleştirilmiş hedeflere karşı kullanım için optimize edilmiş gibi görünüyor ve saldırganların bir hedefin ağının derinliklerine inmesine ve şüphe uyandırmadan verileri sızdırmasına izin veriyor” diyor.
“Daxin’in ele geçirilmiş TCP bağlantılarını kullanması, iletişimlerine yüksek derecede gizlilik sağlıyor ve katı güvenlik duvarı kurallarına sahip ağlarda bağlantı kurulmasına yardımcı oluyor. Ayrıca, ağ anormalliklerini izleyen SOC analistleri tarafından keşfedilme riskini de azaltabilir.”
Daxin’i özellikle tehlikeli yapan başka bir şey de, çok sayıda uç nokta üzerinden karmaşık bir iletişim kanalı kurarak yüksek düzeyde korunan ağlarda kalıcılık sağlama yeteneğidir.
Symantec, grubun bu sefer hedeflediği kuruluşların isimlerini söylemedi.