“Son derece sofistike” bir Çince konuşan gelişmiş kalıcı tehdit (APT) aktörü LuoYu yan taraftaki adam saldırıları aracılığıyla sağlanan WinDealer adlı kötü amaçlı bir Windows aracı kullanılarak gözlemlendi.
Rus siber güvenlik şirketi Kaspersky, “Bu çığır açan gelişme, oyuncunun geçiş halindeki ağ trafiğini kötü amaçlı yükler eklemek için değiştirmesine olanak tanıyor.” söz konusu yeni bir raporda. “Bu tür saldırılar özellikle tehlikeli ve yıkıcı çünkü başarılı bir enfeksiyona yol açmak için hedefle herhangi bir etkileşim gerektirmiyorlar.”
2008’den beri aktif olduğu bilinen LuoYu’nun hedef aldığı kuruluşlar, ağırlıklı olarak Çin’de kurulan yabancı diplomatik kuruluşlar ve akademik camianın üyeleri ile finans, savunma, lojistik ve telekomünikasyon şirketleridir.
LuoYu’nun kullanımı WinDealer İlk olarak Tayvanlı siber güvenlik firması tarafından belgelendi TakımT5 Ocak 2021’de Japonya Güvenlik Analisti Konferansı’nda (JSAC) saldırı kampanyaları Avusturya, Almanya, Hindistan, Rusya ve ABD’de bildirilen izole enfeksiyonlarla birlikte kötü amaçlı yazılımı Japon varlıklarını hedeflemek için kullandılar
Düşmanın kötü amaçlı yazılım cephaneliğinin bir parçası olan diğer araçlar arasında, her ikisi de çeşitli Çinli tehdit aktörleri tarafından stratejik hedeflerini gerçekleştirmek için kullanılan PlugX ve halefi ShadowPad yer alıyor. Ek olarak, oyuncunun Linux, macOS ve Android cihazları hedef aldığı biliniyor.
WinDealer, kendi adına, geçmişte hizmet veren web siteleri aracılığıyla teslim edildi. sulama delikleri ve Tencent QQ ve Youku gibi anlık mesajlaşma ve video barındırma hizmetleri gibi görünen truva atlı uygulamalar biçiminde.
Ancak enfeksiyon vektörü, o zamandan beri, “nadir durumlarda” yürütülebilir dosyanın güvenliği ihlal edilmiş bir sürümünü sunmak için belirli meşru uygulamaların otomatik güncelleme mekanizmasını kullanan başka bir dağıtım yöntemiyle takas edildi.
Özünde modüler bir kötü amaçlı yazılım platformu olan WinDealer, geleneksel bir arka kapıyla ilişkili tüm olağan özelliklerle birlikte gelir ve hassas bilgilerin üzerinde gezinmesine, ekran görüntülerini yakalamasına ve isteğe bağlı komutları yürütmesine olanak tanır.
Ancak, 48.000 IP adresinden oluşan bir havuzdan rastgele bağlanmak üzere bir komut ve kontrol (C2) sunucusu seçmek için karmaşık bir IP oluşturma algoritması kullanması da diğerlerinden farklıdır.
Şirket, “Görünüşte imkansız olan bu ağ davranışlarını açıklamanın tek yolu, tüm ağ trafiğini engelleyebilen ve hatta gerekirse değiştirebilen bir yan taraftaki bir saldırganın varlığını varsaymaktır.” Dedi.
A adam-yan ortadaki adam saldırısına benzer bir saldırı, sahte bir interloper’ın rastgele mesajları okumasını ve bir iletişim kanalına eklemesini sağlar, ancak diğer taraflarca gönderilen mesajları değiştirmez veya silmez.
Bu tür izinsiz girişler, tipik olarak, saldırgan tarafından sağlanan verileri içeren kötü niyetli yanıtın, sunucudan gelen gerçek yanıttan önce bir web kaynağı için kurbanın talebine yanıt olarak gönderileceği şekilde mesajlarını stratejik olarak zamanlamaya dayanır.
Kaspersky, tehdit aktörünün bu kadar çok sayıda IP adresini kontrol edebildiği gerçeğinin, orijinal uygulamalarla ilişkili güncelleme mekanizmasının WinDealer yükünü sağlamak için ele geçirilmesini de açıklayabileceğine dikkat çekti.
Güvenlik araştırmacısı Suguru Ishimaru, “Bir cihaza saldırmak için gereken tek koşul, internete bağlı olması olduğundan, yan taraftaki adam saldırıları son derece yıkıcıdır.” Dedi.
“Saldırı nasıl gerçekleştirilirse gerçekleştirilsin, potansiyel kurbanların kendilerini savunmasının tek yolu son derece uyanık kalmak ve düzenli antivirüs taramaları, giden ağ trafiğinin analizi ve anormallikleri tespit etmek için kapsamlı günlük kaydı gibi sağlam güvenlik prosedürlerine sahip olmaktır. “