Çin destekli gelişmiş kalıcı tehdit (APT) aktörü APT41’in faaliyetlerinin bir analizi, grubun ana Kobalt Saldırısı yükünü kurban sistemlere dağıtmak için benzersiz ve bir şekilde açıklanamaz bir yöntem kullandığını gösterdi.
Singapur merkezli Group-IB’den araştırmacılar, düşmanın keşif yapmak için çeşitli çift kullanımlı araçlar kullandığını da keşfetti.
Şimdiye kadar, Group-IB, dünya çapında dört ayrı kampanyada güvenliği ihlal edilmiş en az 13 büyük kuruluş belirledi ve APT farklı erişim seviyeleri kazandı. Kurbanlar arasında ABD’nin yanı sıra Çin, Hindistan, Tayvan ve Vietnam’daki hükümet, sağlık, imalat, lojistik, konaklama ve medya sektörlerindeki kuruluşlar yer aldı.
Güvenlik sağlayıcısı, APT41 kurbanlarının gerçek sayısının çok daha yüksek olabilir– diğer şeylerin yanı sıra – 2021’de toplam 80 özel ve devlet kuruluşunda APT ile ilgili faaliyet belirtileri gözlemlediği gerçeğine dayanmaktadır.
Cobalt Strike için Şaşırtıcı Yük Dağıtım Stratejisi
Group-IB’nin analiz ettiği kampanyaların ilginç bir yönü, APT41’in ana özel Cobalt Strike ikili dosyasını Base64’te kodlama ve ardından onu 775 karakterlik daha küçük parçalara ayırma eğilimiydi. Bunlar daha sonra bir metin dosyasına eklenir. Bir durumda, tehdit aktörleri, tüm yükü dosyaya yazmak için eylemi 154 kez tekrarlamak zorunda kaldı.
Başka bir örnekte, Group-IB araştırmacıları, sürecin 128 yinelemesini kullanarak yükü bir metin dosyasına yazmadan önce tehdit aktörünün kodu 1.024 karakterlik parçalara böldüğünü gözlemledi.
Group-IB’nin APT araştırma ekibinde bir analist olan Nikita Rostovcev, APT41’in neden bu stratejiyi benimsediğinin belirsiz olduğunu, ancak bunun radarın altında kalma girişimi olabileceğini tahmin ediyor.
“Saldırganların neden bu yöntemi seçtiğini tam olarak bilmiyoruz çünkü SQLmap’in büyük bir veri aktarım sınırı var, bu da büyük olasılıkla algılanmasını önlemek için kasıtlı olarak yapıldığı anlamına geliyor” diyor.
Ancak hileyi tespit etmek zor değil, özellikle de yükün sonunda Base64’te kodlandığı göz önüne alındığında, “Bu eşsiz bir bulgu. Başka hiçbir saldırganın saldırılarında bu yöntemi kullandığını görmedik.”
SQL Enjeksiyon ve Çift Kullanımlı Araçlar
Group-IB’nin analizi, tehdit aktörlerinin ilk erişim için taktikleri değiştirdiğini ve bazı hedef kuruluşlara bir dayanak elde etmek için SQLmap aracını kullanarak SQL enjeksiyon saldırıları gerçekleştirdiğini gösteriyor. SQLmap, SQL güvenlik açıklarını otomatik olarak keşfeder ve kullanır. SQL enjeksiyon saldırıları, APT41 aktörlerinin bazı hedeflenen sunucularda komut kabuğu erişimi elde etmesine izin verir.
Bu taktik, APT41’in ilk erişim vektörleri olarak phishing, watering-hole saldırıları ve çalıntı kimlik bilgilerini kullanma şeklindeki olağan modelinden bir sapmayı işaret ediyor.
APT41 temel olarak mevcut kullanıcı hesapları, çalışan listeleri ve düz metin ve karma biçimde saklanan şifreler hakkında bilgi içeren veritabanlarının peşinden gitti. Toplamda, APT41 aktörleri, hedeflenen kuruluşlara ait 86 savunmasız web sitesine ve uygulamaya saldırdı ve bunların yarısını SQL enjeksiyonu yoluyla ele geçirmeyi başardılar.
Rostovcev, “Genellikle, APT41’den gelen saldırganlar, mevcut kullanıcılar ve hesapları hakkındaki bilgilerle ve daha fazla yanal hareket için kullanılabilecek herhangi bir veriyle ilgilenirler” diyor.
Tehdit aktörü bir hedef ağa erişim elde ettiğinde, görevini yerine getirmek için çok sayıda başka özel araç kullandığı bilinmektedir. Cybereason, bu yılın başlarındaki raporunda, bu araçlardan bazılarını, tehdit grubunun ana çekirdek düzeyindeki kök setini dağıtmak için DeployLog olarak tanımladı; Spyder Loader adlı bir ilk yük; StashLog adlı yükleri depolamak için bir araç; ve bir tanesi PrivateLog olarak adlandırılan ayrıcalık yükseltme için.
Group-IB’nin araştırdığı 2021 kampanyalarında, Acunetix’in Web güvenlik açığı tarayıcısı, Nmap ve OneForAll gibi araçları ve subdomain3, subDomainsBrute ve Sublist3r gibi kalem testi araçlarını kullanan APT41 aktörlerini keşfetti.
Rostovcev, “Acunetix hariç tüm bu yardımcı programlar halka açıktır ve yalnızca bilgisayar korsanlarının saldırılarında değil, örneğin sızma testlerinde de kullanılır.” Diyor.
Rostovcev, araçları, gizli yöneticileri ve unutulmuş yedekleme arşivlerini aramak için kullanılabilecekler ve bağlantı noktalarını ve bunlar üzerinde çalışan hizmetleri taramak için kullanılabilecekler de dahil olmak üzere birden çok kategoriye ayrıldığını açıklıyor.
Üretken ve Kalıcı Bir Devlet Sponsorlu Tehdit Aktör
APT41 (aka Winnti, Wicked Panda, Barium ve Blackfly), ilk olarak 2010 yılında Google ve Yahoo’ya yapılan saldırılarla ortaya çıkan tanınmış bir APT grubudur. Grubun Çin hükümeti adına ya da en azından zımni desteğiyle çalıştığına inanılıyor. Bazıları APT41’i Çin istihbarat teşkilatlarından gelen direktifleri yerine getiren bir dizi siber tehdit aktörü olarak tanımladı.
ABD hükümeti 2020’de beş APT41 üyesini suçlasa ve birden fazla güvenlik sağlayıcısı faaliyetlerini ve TTP’leri kronikleştirmiş olsa da, tehdit aktörü faaliyetlerine etkilenmeden devam etti. Cybereason raporu, APT41’in yakın tarihli bir siber casusluk kampanyasında Kuzey Amerika’daki 30 kuruluştan yüzlerce gigabaytlık hassas veri çaldığını gösteriyor.