Çin kaynaklı devam eden bir siber saldırı kampanyası, güvenliği ihlal edilmiş sistemlere Cobalt Strike işaretlerini yerleştirmek için Güneydoğu Asya kumar sektörünü hedefliyor.
Siber güvenlik firması SentinelOne, taktiklerin, tekniklerin ve prosedürlerin, takip edilen bir tehdit aktörünün müdahalesine işaret ettiğini söyledi. bronz yıldız ışığı (diğer adıyla Emperor Dragonfly veya Storm-0401), kısa ömürlü fidye yazılımı ailelerinin casusluk amaçlarını gizlemek için bir sis perdesi olarak kullanılmasıyla bağlantılıdır.
Güvenlik araştırmacıları Aleksandar Milenkoski ve Tom Hegel, “Tehdit aktörleri, Cobalt Strike işaretlerini dağıtmak için DLL hırsızlığına karşı savunmasız Adobe Creative Cloud, Microsoft Edge ve McAfee VirusScan yürütülebilir dosyalarını kötüye kullanıyor.” söz konusu bugün yayınlanan bir analizde.
Ayrıca kampanyanın, ChattyGoblin Operasyonu adı altında ESET tarafından izlenen bir izinsiz giriş seti ile örtüştüğünü belirtmekte fayda var. Buna karşılık, bu aktivite, bir JavaScript arka kapısını dağıtmak için Comm100 Canlı Sohbet uygulaması için trojenleştirilmiş bir yükleyiciden yararlanan ve geçen yıl gün ışığına çıkan bir tedarik zinciri saldırısıyla ortak noktalara sahip.
Kesin bir gruba atıf, birbirine bağlı ilişkiler ve kapsamlı altyapı ve çeşitli Çinli ulus-devlet aktörleri arasında yaygın olan kötü amaçlı yazılım paylaşımı nedeniyle bir sorun olmaya devam ediyor.
Saldırıların, Alibaba kovalarından ikinci aşama bir ZIP arşivi almak üzere yapılandırılmış bir .NET kötü amaçlı yazılım yükleyicisini indirmek için sohbet uygulamaları için değiştirilmiş yükleyiciler kullandığı biliniyor.
ZIP dosyası, güvenlik açığı bulunan meşru bir yürütülebilir dosyadan oluşur. DLL arama siparişi kaçırmaA yandan yüklenen kötü amaçlı DLL başlatıldığında yürütülebilir dosya ve agent.data adlı şifreli bir veri dosyası tarafından.
Özellikle bu, bir Cobalt Strike işaretini uygulayan veri dosyasına katıştırılmış kodun şifresini çözmek ve yürütmek için DLL hırsızlığına duyarlı Adobe Creative Cloud, Microsoft Edge ve McAfee VirusScan yürütülebilir dosyalarının kullanılmasını gerektirir.
Araştırmacılar, “Yükleyici, DLL hırsızlığına karşı savunmasız yasal yürütülebilir dosyalar tarafından yandan yükleme yoluyla yürütülür ve şifreli bir dosyada depolanan bir yükü aşamalandırır.”
SentinelOne, .NET kötü amaçlı yazılım yükleyicilerinden birinin (“AdventureQuest.exe”), bir noktada imzalama anahtarının çalındığını gösteren, Ivacy VPN adlı Singapur merkezli bir VPN sağlayıcısı tarafından verilen bir sertifika kullanılarak imzalandığını söyledi. Digitcert o zamandan beri iptal edildi Haziran 2023 itibariyle sertifika.
Yandan yüklenen DLL dosyaları, APT10, Bronze Starlight ve TA410 gibi Çin merkezli gruplar tarafından yaygın olarak kullanılan özel bir kötü amaçlı yazılım yükleyicisi olan HUI Loader türevleridir. APT10 ve TA410’un birbirleriyle davranışsal ve takım örtüşmelerini paylaştığı söyleniyor, ilki ayrıca Earth Tengshe olarak adlandırılan başka bir kümeyle ilgili.
Araştırmacılar, “Çin-nexus tehdit aktörleri geçmişte sürekli olarak kötü amaçlı yazılım, altyapı ve operasyonel taktikler paylaştı ve bunu yapmaya devam ediyor” dedi ve faaliyetlerin “Çin tehdit ortamının karmaşık doğasını gösterdiğini” ekledi.