Gizemli ve gizli Çinli bilgisayar korsanı grubu GhostEmperor, iki yıllık bir aradan sonra daha gelişmiş yetenekler ve kaçınma teknikleriyle yeniden ortaya çıktı.
İlk olarak Kaspersky Lab tarafından 2021 yılında keşfedilen GhostEmperor, karmaşık tedarik zinciri saldırıları yoluyla Güneydoğu Asya’daki telekomünikasyon ve hükümet kurumlarını hedef almasıyla biliniyordu.
Grubun son faaliyetleri, grubun gelişmiş saldırı yöntemlerini ayrıntılı olarak açıklayan siber güvenlik firması Sygnia tarafından ortaya çıkarıldı. rapor Bu hafta yayımlandı.
Güvenlik firmasının kimliği belirsiz bir istemcinin ele geçirilen ağıyla ilgili yaptığı son araştırma, ihlalin arkasında GhostEmperor’ın olduğunu ortaya çıkardı.
Saldırganlar, ele geçirilen ağı başka bir kurbanın sistemlerine sızmak için bir fırlatma rampası olarak kullandılar; bu olay, GhostEmperor’ın 2021’den bu yana teyit edilen ilk faaliyeti oldu.
Sygnia’nın araştırması, GhostEmperor’ın, uç nokta algılama ve yanıt (EDR) yazılımlarından kaçınarak kurbanın işletim sistemine en üst düzeyde erişim sağlayan çekirdek düzeyindeki bir araç olan iyi bilinen Demodex kök kitini güncellediğini tespit etti.
Güncellenen varyant, Core-Implant’ı yürütmek için yansıtıcı bir yükleyici içerir ve farklı dosya adları ve kayıt defteri anahtarları gibi yeni karartma teknikleri kullanır. Ek olarak, analiz edilen varyantın Temmuz 2021’de derlenmiş gibi göründüğü, Kaspersky’nin başlangıçta belgelediğinden daha yeni bir sürüm olabileceğini gösteriyor.
Enfeksiyon Zinciri, Kaçınma Teknikleri
Analizde ayrıca GhostEmperor’ın enfeksiyon zincirinde önemli değişiklikler olduğu da belirtildi.
Geleneksel olarak, grup ProxyLogon gibi güvenlik açıklarından yararlanarak ilk erişimi elde etti. Enfeksiyonu başlatmak için bir toplu iş dosyası yürütüldü ve bir dizi komut ve kontrol (C2) sunucusuyla iletişim kuran çeşitli araçlar dağıtıldı.
En son ihlalde GhostEmperor, Windows Yönetim Araçları (WMI) aracılığıyla uzaktan komutları yürütmek ve tehlikeye atılan makinede enfeksiyon zincirini başlatmak için Impacket Toolkit’teki WMIExec aracını kullandı.
Raporda, yeni enfeksiyon zincirinin daha karmaşık ve daha gizli olduğu, ek EDR kaçınma tekniklerini de içerdiği belirtildi.
Sygnia’nın yönetici müdürü Azeem Aleem, “Özellikle bu senaryoda, müşterinin alanına girdiğimizde, insanların çevrelerinin farkında olmadığını tekrar tekrar görüyoruz” dedi. The Record’a söylediSiber güvenlik firması Recorded Future’ın haber sitesi.
GhostEmperor Küresel Bir İz Bıraktı
GhostEmperor olduğunda ilk olarak Eylül 2021’de tespit edildiKaspersky, söz konusu grubu, Malezya, Tayland, Vietnam ve Endonezya gibi Güneydoğu Asya’daki yüksek profilli kuruluşları hedef alan, son derece yetenekli ve gelişmiş bir tehdit aktörü olarak tanımladı.
Ek olarak, Mısır, Etiyopya ve Afganistan’daki kuruluşlar da mağdur oldu; bu da operasyonun geniş ve iddialı bir kapsamı olduğunu gösteriyor.
Kaspersky’nin ilk keşfi, GhostEmperor’ın gizlilik ve kalıcılık için tasarlanmış çok aşamalı kötü amaçlı yazılım kullandığını, tehlikeye atılmış ağlarda bir dayanak noktası elde etmek için kök araç takımları ve diğer gelişmiş araçlardan yararlandığını ortaya koydu.
Grubun tespit edilmekten kaçınma ve karmaşık saldırı stratejileri kullanma becerisi, araştırmacıların bu tür araçları geliştirmek ve dağıtmak için gereken kaynaklar ve uzmanlık göz önüne alındığında, onları devlet destekli bir aktör olarak sınıflandırmasına yol açtı.
Çin Tehdit Aktörleri Çoğalıyor
Sadece bu ay Çinli tehdit aktörleri keşfedildi Çin’deki internet kafeleri hedef alıyor saldırganların en yüksek ayrıcalıklarla kötü amaçlı kod yürütmesine olanak tanır.
The Çin devlet destekli aktör APT40 Avustralya ağlarına yönelik tekrarlanan saldırılar da dahil olmak üzere, küresel çapta kuruluşları hedef alan yeni keşfedilen yazılım güvenlik açıklarını saatler içinde istismar eden bir saldırı keşfedildi. Ayın başında Çin destekli tehdit grubu Velvet Ant Cisco’nun çeşitli anahtarları yönetmek için kullandığı NX-OS yazılımındaki bir güvenlik açığından yararlanmak için hedefli kötü amaçlı yazılım kullanıldığı keşfedildi.