Winnti adlı Çin bağlantılı casusluk odaklı aktör, devam eden bir kampanyanın parçası olarak Hong Kong’daki hükümet kuruluşlarına odaklandı. CuckooArıları Operasyonu.
En az 2007’den beri aktif olan Winnti (aka APT41, Barium, Bronze Atlas ve Wicked Panda), ağırlıklı olarak gelişmiş ülkelerdeki kuruluşlardan fikri mülkiyeti çalmayı amaçlayan Çin devlet destekli casusluk faaliyeti yürüten üretken bir siber tehdit grubuna verilen addır. ekonomiler.
Tehdit aktörünün kampanyaları sağlık, telekom, yüksek teknoloji, medya, tarım ve eğitim sektörlerini hedef aldı ve enfeksiyon zincirleri öncelikle kurbanların ağlarına girmek için ekleri olan hedef odaklı kimlik avı e-postalarına güveniyor.
Bu Mayıs ayının başlarında Cybereason, grup tarafından 2019’dan bu yana, çoğunlukla Doğu Asya, Batı Avrupa ve Kuzey Amerika’da bulunan teknoloji ve üretim şirketlerinin teknoloji sırlarını sifonlamak için düzenlenen uzun süredir devam eden saldırıları ifşa etti.
İsrailli siber güvenlik şirketi, CuckooBees Operasyonu adı altında toplanan izinsiz girişlerin, “yüzlerce gigabaytlık bilginin” sızdırılmasıyla sonuçlandığı tahmin ediliyor.
Son aktiviteye göre Symantec Broadcom Software’in bir parçası olan Threat Hunter ekibi, tescilli veri hırsızlığı kampanyasının bir devamıdır, ancak Hong Kong’a odaklanmıştır.
Saldırganlar, güvenliği ihlal edilen bazı ağlarda bir yıl boyunca aktif kaldı. söz konusu The Hacker News ile paylaşılan bir raporda, izinsiz girişlerin eklenmesi, kötü amaçlı yazılım yükleyici adı verilen bir kötü amaçlı yazılım yükleyicinin dağıtımının önünü açtı. örümcekilk olarak Mart 2021’de ortaya çıktı.
“[Spyder] SonicWall Capture Labs Tehdit Araştırma Ekibi, bilgi depolama sistemlerine yönelik hedefli saldırılar, bozuk cihazlar hakkında bilgi toplama, yaramaz yükleri yürütme, komut dosyası yürütmeyi koordine etme ve C&C sunucu iletişimi için kullanılıyor. kayıt edilmiş o zaman.
Spyder’ın yanında ayrıca, aşağıdakiler gibi diğer sömürü sonrası araçlar da konuşlandırıldı: mimikatz ve uzak bir sunucudan komutları alabilen veya rastgele bir yük yükleyebilen truva atına dönüştürülmüş bir zlib DLL modülü.
Symantec, kampanyanın amaçlarının önceki saldırılarla taktiksel örtüşmelere dayalı istihbarat toplamayla bağlantılı olduğundan şüphelenilse de, herhangi bir son aşamadaki kötü amaçlı yazılımın teslim edildiğini gözlemlemediğini söyledi.
“Spyder Loader kötü amaçlı yazılımının o dönemde farklı varyantlarının konuşlandırıldığı bu kampanyanın birkaç yıldır devam ediyor olması, bu etkinliğin arkasındaki aktörlerin, kurban ağlarında gizli operasyonlar yürütme yeteneğine sahip, ısrarcı ve odaklanmış düşmanlar olduğunu gösteriyor. uzun bir süre boyunca,” dedi Symantec.
Winnti, Sri Lanka devlet kurumlarını hedef alıyor
Winnti’nin gelişmişliğinin bir başka işareti olarak, Malwarebytes açık DBoxAgent olarak adlandırılan ve komuta ve kontrol için Dropbox’tan yararlanan yeni bir arka kapı ile Ağustos başında Sri Lanka’daki devlet kurumlarını hedef alan ayrı bir dizi saldırı.
Malwarebytes Tehdit İstihbaratı ekibi, “Bildiğimiz kadarıyla Winnti (Çin destekli bir APT) ilk kez Sri Lanka’yı hedefliyor.” Dedi.
Killchain ayrıca, ekonomik yardım hakkında bilgi içeren bir belge olduğu iddia edilen ve tehdit aktörünün bundan yararlanma girişimini gösteren, Google Drive’da barındırılan bir ISO görüntüsünü kullanması açısından da dikkate değerdir. devam eden ekonomik kriz ulusta.
ISO görüntüsünde bulunan bir LNK dosyasını başlatmak, rakibin makineye uzaktan komuta etmesini ve hassas verileri bulut depolama hizmetine geri vermesini sağlayan DBoxAgent implantının yürütülmesine yol açar. Dropbox o zamandan beri haydut hesabını devre dışı bıraktı.
Arka kapı ayrıca, Google’ın Mandiant tarafından belgelenen KEYPLUG adlı gelişmiş bir C++ arka kapısının kullanımıyla sonuçlanan çok aşamalı bir enfeksiyon dizisini etkinleştirmek de dahil olmak üzere, diğer saldırılara ve veri hırsızlığına kapı açacak istismar araçlarını bırakmak için bir kanal görevi görür. Mart 2022’de.
Geliştirme, APT41’in C&C amaçları için Dropbox’ı kullandığı ilk kez gözlemlendi ve saldırganlar tarafından meşru bir hizmet olarak yazılım ve kötü amaçlı içeriği barındırmak için bulut tekliflerinin artan kullanımını gösteriyor.
Siber güvenlik firması, “Winnti aktif olmaya devam ediyor ve cephaneliği günümüzde en sofistike gruplardan biri olarak büyümeye devam ediyor” dedi. “Sri Lanka’nın Güney Asya’daki konumu, Hint Okyanusu’na açık erişimi olduğu ve Hindistan’a yakın olduğu için Çin için stratejiktir.”