Çin devlet destekli tehdit aktörü olarak bilinen taş panda Japon varlıklarına yönelik saldırılarında yeni bir gizli enfeksiyon zinciri kullandığı gözlemlendi.
Hedefler arasında Japonya’daki medya, diplomatik, hükümet ve kamu sektörü kuruluşları ve düşünce kuruluşları yer alıyor. ikiz raporlar Kaspersky tarafından yayınlandı.
taş pandaAPT10, Bronze Riverside, Cicada ve Potassium olarak da adlandırılan , Çin için stratejik olarak önemli olarak tanımlanan kuruluşlara yönelik saldırıları ile bilinen bir siber casusluk grubudur. Tehdit aktörünün en az 2009’dan beri aktif olduğuna inanılıyor.
Mart ve Haziran 2022 arasında gözlemlenen en son saldırılar, sahte bir Microsoft Word dosyasının ve hedefli kimlik avı e-postaları yoluyla yayılan RAR formatında kendi kendine açılan bir arşiv (SFX) dosyasının kullanılmasını içeriyor ve bu da bir arka kapının yürütülmesine yol açıyor. LODEINFO.
Maldoc, kullanıcıların killchain’i etkinleştirmek için makroları etkinleştirmesini gerektirirken, Haziran 2022 kampanyasının bu yöntemi, yürütüldüğünde kötü amaçlı etkinlikleri gizlemek için zararsız bir yem Word belgesi görüntüleyen bir SFX dosyası lehine bıraktığı bulundu.
Makro, etkinleştirildikten sonra, biri (“NRTOLF.exe”), K7Security Suite yazılımından meşru bir yürütülebilir dosya olan ve daha sonra sahte bir DLL (“K7SysMn1.dll”) yüklemek için kullanılan iki dosya içeren bir ZIP arşivi bırakır. DLL yan yükleme.
Güvenlik uygulamasının kötüye kullanılması bir yana, Kaspersky, Haziran 2022’de, parola korumalı bir Microsoft Word dosyasının, makroları etkinleştirdikten sonra DOWNIISSA adlı dosyasız bir indirici sağlamak için bir kanal görevi gördüğü başka bir ilk bulaşma yöntemini keşfettiğini söyledi.
Rus siber güvenlik şirketi, “Gömülü makro, DOWNIISSA kabuk kodunu oluşturur ve mevcut sürece (WINWORD.exe) enjekte eder” dedi.
DOWNIISSA, sabit kodlanmış bir uzak sunucuyla iletişim kuracak şekilde yapılandırılmıştır ve bunu, LODEINFO’nun şifrelenmiş bir BLOB yükünü almak için kullanır; bu, rastgele kabuk kodu yürütebilen, ekran görüntüleri alabilen ve dosyaları sunucuya geri sızdırabilen bir arka kapıdır.
İlk olarak 2019’da görülen kötü amaçlı yazılım, Kaspersky’nin Mart, Nisan, Haziran ve Eylül 2022’de altı farklı sürüm belirlemesiyle çok sayıda iyileştirme geçirdi.
Değişiklikler, radarın altında uçmak için gelişmiş kaçınma tekniklerini içeriyor ve makinelerde yürütmeyi durduruyor. yerel “en_US”, desteklenen komutların listesini gözden geçiriyor ve Intel 64 bit mimarisi için desteği genişletiyor.
Araştırmacılar, “LODEINFO kötü amaçlı yazılımı çok sık güncelleniyor ve aktif olarak Japon kuruluşlarını hedef almaya devam ediyor” dedi.
“LODEINFO ve ilgili kötü amaçlı yazılımlardaki güncellenmiş TTP’ler ve iyileştirmeler […] saldırganın özellikle güvenlik araştırmacıları için algılama, analiz ve araştırmayı zorlaştırmaya odaklandığını gösterir.”