Çin’in gelişmiş kalıcı tehdit (APT) şirketi, işletim sistemleri (OS) genelinde kötü amaçlı yazılımlar geliştirip yineleyerek casusluk yeteneklerini yükseltiyor.
Evasive Panda — Symantec’in “Daggerfly” olarak takip ettiği yeni bir blog yazısında — telekomünikasyon şirketlerini, devlet kurumlarını, sivil toplum örgütlerini (STK), üniversiteleri ve Çin devletinin ilgisini çeken özel kişileri hedef aldığı bilinmektedir. Son zamanlarda, çoğunluğu Tayvan’da bulunan benzer hedeflere ve Çin’de bulunan bir Amerikan STK’sına karşı bir avuç saldırı gerçekleştirmiştir.
Kurbanları tahmin edilebilir olsa da, hileleri için hedef aldığı platformlar çeşitlidir. Symantec, Windows ve macOS’un yanı sıra Evasive Panda’nın Android Paket Kitlerini (APK’ler) Truva Atı’na dönüştürdüğüne, SMS ve DNS istek kesme araçları geliştirdiğine ve Linux ve hatta Solaris OS etrafında kötü amaçlı yazılım aileleri geliştirdiğine dair kanıtlar buldu.
“Birden fazla farklı platform için kötü amaçlı yazılım geliştirme yetenekleri dikkate değer,” diyor Symantec tehdit avcısı ekibinin baş istihbarat analisti Dick O’Brien. “APT gruplarının iki veya üç farklı platformu hedef alması alışılmadık bir durum değil, ancak bu grup Solaris gibi oldukça niş olanlar da dahil olmak üzere her büyük platformu hedef alma hırsına ve becerisine sahip. Bunu çok sık göremezsiniz.”
Daggerfly’ın Çeşitli Aygıtları
Evasive Panda en az on yıllıktır. Bu kadar uzun bir süreden sonra her şeyi taze tutmak için, farklı işletim sistemleri için tasarlanmış çeşitli özel kötü amaçlı yazılım araçları geliştirir ve bunları oluşturur. Hepsinin temelinde paylaşılan bir kütüphane veya çerçeve vardır.
Bu paylaşılan kodu içeren en bilinen aracı modüler MgBot kötü amaçlı yazılımıdır. MgBot, yakın zamanda Çin merkezli bir Amerikan STK’sına, 2023’te bir Afrika telekom operatörüne karşı yapılan saldırılarda kullanıldı ve geçen yılın sonlarında sulama deliği saldırılarıSymantec tarafından “Trojan.Suzafk” olarak adlandırılan daha yeni bir araç olan “Nightdoor” ile birlikte çalıştığı yer.
Nightdoor, sanal disk sürücüleri oluşturmak ve bağlamak için meşru DAEMON Tools Lite programı ve zamanlanmış görevler aracılığıyla kalıcılık sağlayan bir dinamik bağlantı kitaplığı (DLL) ile birlikte yeni enfekte olmuş sistemlere yüklenir. Son yük -çok aşamalı bir arka kapı- komut ve kontrol (C2) için TCP veya OneDrive kullanır ve açık kaynak (OSS) aracıyla gömülü olarak gelir “el-hasırAl-khaser, çeşitli anti-analiz hilelerini birleştirerek “kötü amaçlı yazılımlara karşı sisteminizi zorlamayı amaçlayan” bir kavram kanıtı (PoC) uygulaması olarak kendini pazarlıyor.
Evasive Panda bir Mac’e saldırmak istediğinde, Macmabu yıl vahşi doğada yarım on yılını kutlayan bir arka kapı. Windows kuzenleri gibi, Macma da çeşitli sulama deliği saldırılarında kullanıldı. Örneğin 2021’de, medya ve protestoculara karşı konuşlandırıldı Bağımsız bir Hong Kong için savaşıyor. Cihazların parmak izini alabilir, onlardan dosya yükleyebilir ve indirebilir, tuş vuruşlarını, ekran görüntülerini ve sesleri yakalayabilir ve daha fazlasını yapabilir.
Son zamanlarda, yeni arka kapılar geliştirmenin yanı sıra Evasive Panda, Macma’yı çoğunlukla küçük yollarla güncelledi. O’Brien, bunun “devam eden, yinelemeli bir geliştirmenin kanıtı olduğunu” söylüyor. Bu ince ayarların bazıları, kötü amaçlı yazılımın parmak izini gizlice değiştirerek tespit edilmekten kaçınmaya yardımcı olsa da, bunun bize söylediği en önemli şey, sürekli olarak yeni sürümler yayınlayıp küçük iyileştirmeler yapıp hataları düzeltebilecekleri sürekli geliştirme kapasitesine sahip olduklarıdır.