2021’in başından beri aktif olan Çin merkezli bir gelişmiş kalıcı tehdit (APT) aktörü, sistematik, devlet destekli siber casusluk ve fikri mülkiyet hırsızlığı için kamuflaj olarak fidye yazılımı ve çifte gasp saldırılarını kullanıyor gibi görünüyor.
Tüm saldırılarda, tehdit aktörü, Cobalt Strike Beacon’ı yüklemek ve ardından güvenliği ihlal edilmiş ana bilgisayarlara fidye yazılımı dağıtmak için yalnızca Çin destekli gruplarla ilişkilendirilen HUI Yükleyici adlı bir kötü amaçlı yazılım yükleyici kullandı. Grubu “Bronze Starlight” olarak izleyen Secureworks araştırmacıları, bunun diğer tehdit aktörlerinin kullandıklarını gözlemlemedikleri bir taktik olduğunu söylüyor.
Secureworks ayrıca, birden fazla ülkede, düşmanın tehlikeye attığı görünen kuruluşları tespit ettiğini söylüyor. Grubun ABD merkezli kurbanları arasında bir ilaç şirketi, bir hukuk firması ve Hong Kong ve Çin’de ofisleri bulunan bir medya şirketi yer alıyor. Diğerleri arasında Japonya ve Litvanya’daki elektronik bileşen tasarımcıları ve üreticileri, Brezilya’da bir ilaç şirketi ve bir Hint holdinginin havacılık ve savunma bölümü yer alıyor. Bronze Starlight’ın şimdiye kadar kurbanlarının dörtte üçü, genellikle devlet destekli Çinli siber casusluk gruplarının ilgisini çeken kuruluşlardır.
Fidye Yazılım Aileleri Arasında Bisiklete binme
2021 yılında faaliyete geçtiğinden beri Bronze Starlight, saldırılarında en az beş farklı fidye yazılımı aracı: LockFile, AtomSilo, Rook, Night Sky ve Pandora. Secureworks’ün analizi, tehdit aktörünün LockFile ile kurban ağındaki verileri şifrelediği ve şifre çözme anahtarı için bir fidye talep ettiği geleneksel bir fidye yazılımı modeli kullandığını gösteriyor. Ancak diğer fidye yazılımı ailelerinin her biriyle çifte gasp modeline geçti. Bu saldırılarda Bronze Starlight, hem hassas verilerini şifreleyerek hem de halka sızdırmakla tehdit ederek kurbanları gasp etmeye çalıştı. Secureworks, AtomSilo, Rook, Night Sky ve Pandora ile ilişkili sızıntı sitelerinde yayınlanan en az 21 şirkete ait verileri belirledi.
Secureworks bilgi güvenliği araştırması kıdemli danışmanı Marc Burnard, Bronze Starlight’ın yüzeyde finansal olarak motive edilmiş gibi görünse de, asıl görevinin Çin ekonomik hedeflerini desteklemek için siber casusluk ve fikri mülkiyet hırsızlığı gibi göründüğünü söylüyor. ABD hükümeti geçen yıl Çin’i devlet destekli siber casusluk kampanyalarında Bronze Starlight gibi tehdit gruplarını kullanmakla resmen suçladı.
“Fidye yazılımı aileleri arasında mağduriyet, araçlar ve hızlı döngü, Bronze Starlight’ın amacının finansal kazanç olmayabileceğini gösteriyor” diyor. Bunun yerine, tehdit aktörünün Çin’i ilgilendiren kuruluşlardan veri çalmak ve faaliyetine ilişkin kanıtları yok etmek için fidye yazılımı ve çifte gaspı bir kılıf olarak kullanması mümkündür.
Bronze Starlight, her bir fidye yazılımı ailesiyle kısa süreler boyunca sürekli olarak yalnızca az sayıda kurbanı hedef aldı – yeni fidye yazılımı araçlarının geliştirilmesi ve dağıtılmasıyla ilgili ek yük nedeniyle tehdit gruplarının genellikle yapmadığı bir şey. Secureworks, Bronze Starlight’ın durumunda, tehdit aktörünün güvenlik araştırmacılarının çok fazla dikkatini çekmesini önlemek için taktiği kullanmış gibi göründüğünü söyledi.
Çin Bağlantısı
Burnard, tehdit aktörünün HUI Loader’ı ve yalnızca Çin destekli tehdit gruplarına bağlı uzaktan erişimli bir Truva atı olan nispeten nadir bir PlugX sürümüyle birlikte kullanmasının, Bronze Starlight’ta fidye yazılımı etkinliğinin önerebileceğinden daha fazlası olduğuna dair başka bir işaret olduğunu söylüyor.
Burnard, “HUI Loader’ın Çin devlet destekli tehdit gruplarına özgü bir araç olduğuna inanıyoruz” diyor. Yaygın olarak kullanılmamaktadır, ancak kullanıldığı yerlerde, faaliyet, Japon şirketlerinden IP çalmaya odaklanan Bronze Riverside adlı bir grubun yaptığı gibi, diğer olası Çin tehdit grubu faaliyetlerine atfedilmiştir.
Burnard, “Kobalt Strike Beacon’ları yüklemek için HUI Yükleyicinin kullanımı açısından, bu, daha geniş kampanyayı ve beş fidye yazılımı ailesini birbirine bağlayan Bronze Starlight etkinliğinin önemli bir özelliğidir” diyor.
Bronze Starlight’ın bir fidye yazılımı operasyonundan daha fazlası olduğunun bir başka işareti, Secureworks’ün bu yılın başlarında araştırdığı ve Bronze Starlight’ın daha önce Çin sponsorluğundaki başka bir tehdit operasyonu olan Bronze Üniversitesi tarafından ele geçirilmiş bir kuruluştaki bir sunucuya girdiği bir ihlali içeriyor. Ancak bu olayda, Bronze Starlight, güvenliği ihlal edilmiş sunucuya Cobalt Strike Beacon ile HUI Yükleyiciyi dağıttı, ancak herhangi bir fidye yazılımı dağıtmadı.
Burnard, “Yine, bu, Bronze Starlight ile Çin’deki devlet destekli tehdit grupları arasındaki bağlantılar hakkında ilginç bir soruyu gündeme getiriyor” diyor.
Bronze Starlight’ın izinsiz giriş etkinliğinden öğrendiğine ve HUI Loader’ın yeteneklerini geliştirdiğine dair kanıtlar da var, diye ekliyor. Grubun ilk izinsiz girişlerinde kullandığı yükleyici sürümü, örneğin yalnızca bir yükü yüklemek, şifresini çözmek ve yürütmek için tasarlandı. Ancak, Secureworks’ün Ocak 2022’deki bir olaya müdahale ederken karşılaştığı aracın güncellenmiş bir sürümü, çeşitli iyileştirmeler ortaya çıkardı.
“Güncellenmiş sürüm, Windows için Windows Olay İzleme’yi devre dışı bırakmak gibi algılamadan kaçınma teknikleriyle birlikte gelir. [ETW] ve Kötü Amaçlı Yazılımdan Koruma Tarama Arayüzü [AMSI] ve Windows API takma,” diyor Burnard. “Bu, HUI Yükleyicinin aktif olarak geliştirildiğini ve yükseltildiğini gösteriyor.”
Secureworks’ün araştırması, Bronze Starlight’ın bilinen güvenlik açıklarından yararlanarak kurban kuruluşlardaki İnternet’e açık sunucuları tehlikeye attığını gösteriyor. Burnard, ağ güvenliğine yönelik çok katmanlı bir yaklaşımın parçası olarak, ağ savunucularının İnternete bakan sunucuların zamanında yamalanmasını sağlamaları gerektiğini söylüyor.
“Odak noktası genellikle sıfırıncı gün istismarı olsa da, genellikle Bronze Starlight gibi tehdit gruplarının zaten bir yaması bulunan güvenlik açıklarından yararlandığını görüyoruz” diyor.