Cisco Talos’un yeni bulgularına göre, bilgi işlem ve ilgili teknolojiler konusunda uzmanlaşmış Tayvan hükümetine bağlı bir araştırma enstitüsüne Çin ile bağlantıları olan ulus devlet tehdit aktörleri tarafından saldırı düzenlendi.
İsmi açıklanmayan örgüt, ShadowPad ve Cobalt Strike gibi çeşitli arka kapılar ve uzlaşma sonrası araçlar sunmak için Temmuz 2023 ortalarında hedef alındı. Orta düzeyde güvenle, APT41 olarak izlenen üretken bir hacker grubuna atfedildi.
“Mevcut kampanyada kullanılan ShadowPad kötü amaçlı yazılımı, yükü başlatmak için özelleştirilmiş ikinci aşama yükleyicisini yüklemek amacıyla yükleyici olarak Microsoft Office IME ikili dosyasının güncel olmayan, güvenlik açığı olan bir sürümünü kullandı,” güvenlik araştırmacıları Joey Chen, Ashley Shen ve Vitor Ventura söz konusu.
“Tehdit aktörü hedeflenen ortamda üç ana bilgisayarı tehlikeye attı ve ağdan bazı belgeleri sızdırmayı başardı.”
Cisco Talos, Ağustos 2023’te, tehlikeye atılmış ortamda PowerShell komutlarını indirmek ve yürütmek için bir IP adresine bağlanan “anormal PowerShell komutları” olarak tanımladıkları şeyi tespit ettikten sonra etkinliği keşfettiğini söyledi.
Saldırıda kullanılan kesin ilk erişim vektörü bilinmemekle birlikte, kalıcı erişimi sürdürmek ve ShadowPad ve Cobalt Strike gibi ek yükler bırakmak için bir web kabuğunun kullanılması söz konusuydu; ikincisi, Go tabanlı bir Cobalt Strike yükleyicisi aracılığıyla teslim edildi. CS-Öldürmekten Kaçının.
Araştırmacılar, “Cobalt Strike kötü amaçlı yazılımı, AV tespitini atlatmak ve güvenlik ürünü karantinasından kaçınmak için bir anti-AV yükleyicisi kullanılarak geliştirilmişti” dedi.
Alternatif olarak, tehdit aktörünün ShadowPad’i bellekte çalıştırmaktan sorumlu betikleri başlatmak ve tehlikeye atılmış bir komuta ve kontrol (C2) sunucusundan Cobalt Strike kötü amaçlı yazılımını almak için PowerShell komutlarını çalıştırdığı gözlemlendi. DLL tabanlı ShadowPad yükleyicisi, aynı zamanda Dağılım ArısıDLL yan yüklemesi yoluyla yürütülür.
Saldırı kapsamında gerçekleştirilen diğer adımlar arasında Mimikatz kullanılarak şifrelerin çıkarılması ve kullanıcı hesapları, dizin yapısı ve ağ yapılandırmaları hakkında bilgi toplamak için çeşitli komutların yürütülmesi yer aldı.
“APT41, bir kavram kanıtı enjekte etmek için özel olarak tasarlanmış bir yükleyici yarattı CVE-2018-0824 Talos, son yükü not ederek, “doğrudan belleğe, yerel ayrıcalık yükseltmesini elde etmek için uzaktan kod yürütme güvenlik açığını kullanarak” dedi. UnmarshalPwnüç farklı aşamadan geçtikten sonra serbest bırakılır.
Siber güvenlik ekibi ayrıca saldırganın sistemde başka kullanıcıları tespit ettiğinde kendi etkinliğini durdurarak tespitten kaçınma girişimlerine de dikkat çekti. Araştırmacılar, “Arka kapılar devreye girdiğinde kötü niyetli aktör, ilk erişime izin veren web kabuğunu ve misafir hesabını silecek” dedi.
Açıklama Almanya’nın açıklığa kavuşmuş Bu hafta başında, Çinli devlet aktörlerinin 2021 yılında ülkenin ulusal haritalama kurumu olan Federal Kartografya ve Jeodezi Ofisi’ne (BKG) casusluk amaçlı düzenlenen siber saldırının arkasında olduğu ortaya çıkmıştı.
İddialara yanıt veren Çin’in Berlin Büyükelçiliği söz konusu suçlamanın asılsız olduğunu belirterek, Almanya’nın “Çin’i siyasi ve medyada karalamak için siber güvenlik sorunlarını kullanma uygulamasına son vermesi” çağrısında bulundu.