Kötü şöhretli APT41’in şüpheli bir alt grubu olan Earth Longzhi, aylarca hareketsiz kaldıktan sonra, Güneydoğu Asya’daki endüstri hedefleri genelinde kuruluşlara yeniden saldırıyor. Ve araştırmacılar, bundan sonra kimi hedefleyeceğini bildiklerine inanıyorlar.
APT41, Çin’in en iyi bilinen siber tehditlerinden biridir veya daha doğrusu birden çok alt grup için bir şemsiye etikettir. Yıllar boyunca, devlet kurumlarına, işletmelere ve hatta bireylere yönelik casusluk saldırılarında TTP’lerini sürekli olarak değiştirdi. Özellikle ABD hükümetine yönelik saldırıları, üyelerinin ABD kolluk kuvvetleri tarafından itham edilmesini gerektirecek kadar gürültü yaptı.
2 Mayıs’ta Trend Micro’dan araştırmacılar, yeni bir kampanyanın detayları APT41’in şüpheli bir alt grubu olan Earth Longzhi’den.
Earth Longzhi, Ağustos 2021’de başlayan ve geçen Haziran’da sona eren en son kampanyasından bu yana biraz ara vermişti. Bu durumda, Asya-Pasifik bölgesindeki ülkelerdeki (Tayvan, Tayland, Malezya, Endonezya, Pakistan, Ukrayna ve Çin’in kendisi) endüstrilerdeki (savunma, havacılık, sigorta ve kentsel gelişim) kuruluşları hedef aldı.
Şimdi, yaklaşık bir yıl sonra, Earth Longzhi geri döndü ve aynı türden birçok hedefe karşı casusluk kampanyalarında daha yeni ve daha iyi gizlilik taktikleri kullanıyor.
Earth Longzhi’nin Gelişen TTP’leri
Earth Longzhi, denenmiş ve doğrulanmış kimlik avı e-postaları yerine, halka açık İnternet Bilgi Hizmetlerini (IIS) ve Microsoft Exchange sunucularını popüler Web kabuğunun arkasında. Behinder’ı kullanarak bilgi toplayabilir ve ana sistemlere daha fazla kötü amaçlı yazılım indirebilir.
Ayrıca grup, dinamik bağlantı kitaplığı (DLL) yan yüklemesini kullandı ve kötü amaçlı yazılımları meşru bir DLL (MpClient.dll) olarak gizleyerek meşru Windows Defender ikili dosyaları MpDlpCmd.exe ve MpCmdRun.exe’yi yüklemeleri için kandırdı.
Trend Micro’ya göre Earth Longzhi, öncelikle iki tür kötü amaçlı yazılım sunar: Cobalt Strike için bir yükleyici olan Croxloader ve SPHijacker adlı yeni bir algılama önleme aracı.
SPHijacker, savunmasız bir sürücü — zamguard.sys — kullanarak veya bir tür hizmet reddi gerçekleştirmek için IFEO kayıt defteri anahtarındaki belgelenmemiş “MinimumStackCommitInBytes” değerlerini kötüye kullanarak güvenlik ürünlerini izlerinde devre dışı bırakmak için özel olarak tasarlanmıştır.
Tanium’da uç nokta güvenlik araştırma uzmanı James Lively, “Bu yöntemler aşırı derecede yeni ve karmaşık değil” diye açıklıyor. “Ancak,” diye ekliyor, “bunları verimli ve doğru bir şekilde kullanmak için gerekli olan bilgi, anlayış ve zanaattır.”
Earth Longzhi Buradan Nereye Gidiyor?
Earth Longzhi, bu en yeni kampanyada Filipinler, Tayland, Tayvan ve daha önce hiç hedeflemedikleri bir ülke olan Fiji’de hükümet, sağlık, teknoloji ve üretim sektörlerindeki kuruluşları hedef aldı.
Ama hikayede bir kırışıklık var. Araştırmacılar, araştırmaları sırasında bilgisayar korsanlarının dosyaları arasında gizlenmiş, Vietnamca ve Endonezyaca yazılmış bir dizi sahte belgeye rastladılar.
Araştırmacılar, “Bu sahte belgelere dayanarak, tehdit aktörlerinin bir sonraki saldırı dalgası için Vietnam ve Endonezya’daki kullanıcıları hedeflemeye istekli oldukları sonucuna varılabilir.”
Gelecek daha fazla saldırıyla, Asya-Pasifik’teki ve çevresindeki kuruluşların tehdide uyum sağlaması gerekecek. Lively, Earth Longzhi’nin savunmasız, internete açık sunucuları hedefleme eğilimiyle, “potansiyel hedeflerin ortamlarındaki her şeyin, özellikle de İnternet’e bakan herkesin tamamen yamalanmış ve güncellenmiş olduğundan emin olması gerekiyor” diyor. Aksi takdirde, bir sonraki kurban olabilirler.