Yeni bir araştırma parçası, gelişmiş bir kalıcı tehdit (APT) grubu tarafından kullanılan kötü amaçlı yazılım araç setinin giderek karmaşıklaşan yapısını ayrıntılı olarak açıkladı. Dünya Aughisky.
Trend Micro, “Son on yılda grup, Tayvan’da ve daha yakın zamanda Japonya’da bulunan belirli hedeflere yönelik araçlarda ve kötü amaçlı yazılım dağıtımlarında ayarlamalar yapmaya devam etti.” ifşa geçen hafta teknik bir profilde.
Taidoor olarak da bilinen Earth Aughisky, meşru hesapları, yazılımları, uygulamaları ve ağ tasarımındaki ve altyapısındaki diğer zayıflıkları kendi amaçları için kötüye kullanma yeteneğiyle tanınan bir siber casusluk grubudur.
Çinli tehdit aktörünün öncelikle Tayvan’daki kuruluşları hedef aldığı bilinse de, 2017’nin sonlarına doğru gözlemlenen mağduriyet kalıpları Japonya’ya doğru bir genişleme olduğunu gösteriyor.
En yaygın olarak hedeflenen sektör dikeyleri arasında devlet, telekom, üretim, ağır, teknoloji, ulaşım ve sağlık hizmetleri yer alıyor.
Grup tarafından monte edilen saldırı zincirleri, tipik olarak, bir sonraki aşama arka kapıları dağıtmak için kullanarak, bir giriş yöntemi olarak mızrakla kimlik avından yararlanır. Araçlarının başında, adı verilen bir uzaktan erişim truva atı gelir. Taidoor (diğer adıyla Roudan).
Grup ayrıca, güvenlik yazılımlarından kaçınmak için cephaneliğini sürekli güncelleme girişimlerinin bir parçası olarak GrubbyRAT, K4RAT, LuckDLL, Serkdes, Taikite ve Taleret gibi çeşitli kötü amaçlı yazılım aileleriyle de bağlantılı.
Earth Aughisky tarafından yıllar içinde kullanılan diğer önemli arka kapılardan bazıları şunlardır:
- SiyBot, komuta ve kontrol için Gubb ve 30 Boxes gibi kamu hizmetlerini kullanan temel bir arka kapı (C2)
- Twitter’ın C2 için doğrudan mesaj özelliğini kötüye kullanan TWTRAT
- C2 için Dropbox API’sinden yararlanan DropNetClient (aka Buxzop)
Trend Micro’nun kötü amaçlı yazılım türlerini tehdit aktörüyle ilişkilendirmesi, kaynak kodu, etki alanları ve adlandırma kurallarındaki benzerliklere dayanır ve analiz, bunlar arasındaki işlevsel örtüşmeleri de ortaya çıkarır.
Siber güvenlik firması ayrıca Earth Aughisky’nin faaliyetlerini Airbus tarafından kodlanan başka bir APT aktörüne bağladı. Pitty kaplanı (diğer adıyla APT24) Nisan ve Ağustos 2014 arasında gerçekleşen çeşitli saldırılarda aynı damlalığın kullanımına dayanmaktadır.
Grubun gözünü Japonya ve Güneydoğu Asya’ya diktiği 2017 yılı, saldırıların hacminin o zamandan bu yana önemli bir düşüş sergilemesinde de bir dönüm noktası oldu.
Tehdit aktörünün uzun ömürlü olmasına rağmen, hedef ve faaliyetlerdeki son değişiklik, muhtemelen stratejik hedeflerde bir değişiklik olduğunu veya grubun kötü amaçlı yazılımını ve altyapısını aktif olarak yenilemekte olduğunu gösteriyor.
Trend Micro araştırmacısı CH Lei, “Earth Aughisky gibi grupların, uzun vadeli siber casusluk uygulamaları için cephaneliklerine uyma esnekliğine izin veren yeterli kaynakları var.” Dedi.
“Kuruluşlar, bu grubun saldırılarından kaynaklanan bu kesinti süresini, tekrar aktif hale geldiğinde hazırlık ve uyanıklık dönemi olarak değerlendirmelidir.”
