2022’nin sonlarından 2023’ün başlarına kadar, Çin devlet düzeyindeki bir tehdit aktörü, Kuzey ve Güney Amerika’daki dışişleri bakanlıklarına karşı casusluk yapmak için yeni bir kötü amaçlı yazılım kullandı.
Söz konusu grup, APT15 (namı diğer Flea, Nickel, Vixen Panda, KE3CHANG, Royal APT ve Playful Dragon) halihazırda “muhtemelen istihbarat toplama amaçları için hükümet hedefleri, diplomatik misyonlar ve büyükelçilikler üzerinde uzmanlaşma geçmişine sahiptir. ” Symantec araştırmacıları açıkladı 21 Haziran blog yazısı. Son yıllarda diplomatik kuruluşları, hükümet kuruluşlarını ve STK’ları hedef aldı.
Bu son kampanya, öncelikle dışişleri bakanlıklarına odaklandı, ancak aynı zamanda bir devlet maliye departmanı ve bir şirketi de içeriyordu. Araştırmacılar, tüm hedeflerin “son zamanlarda grup için daha fazla odak noktası haline gelen” bir bölge olan Amerika’da bulunduğunu yazdı.
Casusluklarını gerçekleştirmek için APT15, kötü niyetli ve başka türlü bir düzineden fazla araç kullandı. Cephaneliği arasında Mimikatz ve iki çeşidi, AntSword ve China Chopper dahil olmak üzere dört Web mermisi ve CVE-2020-1472Windows sunucu işlemi Netlogon’da üç yıllık ancak CVSS 10.0 “Kritik” ayrıcalık yükseltme güvenlik açığı.
Saldırganların tek benzersiz aracı, komutları çalıştırmak ve kurban makinelerden dosya indirmek için kullanılan eski Trojan arka kapısının yeni bir çeşidi olan Graphican’dı. SafeBreach’teki CISO’dan Avishai Avivi, “Bu arka kapı, bazı tespit önleme mekanizmalarını geliştirdi” diyor. “Bununla birlikte, tehdit aktörlerinin genellikle aynı teknikleri kullanması, şirketlerin savunmalarını proaktif olarak test etmelerine olanak tanıyor.”
Graphican Nedir?
Graphican, APT15’in diğer Trojan arka kapısı Ketrican’ın bir yinelemesidir ve kendisi de önceki modelleri olan BS2005’in bir evrimidir.
Graphican çoğunlukla tipik, sabit kodlu bir komut ve kontrol (C2) sunucusundan vazgeçerek kendisini farklı kılar. Bunun yerine, bir OneDrive klasöründen şifrelenmiş bir sunucu adresi almak için Microsoft 365 hizmetleri için bir API olan Microsoft Graph’ı kullanır.
Ancak bağlantı sağlandıktan ve makine tehlikeye atıldıktan sonra Graphican, önceki sürümle aynı temel işlevlere sahip olur — kurban makinede saldırgan kontrollü bir komut satırı oluşturma, yeni işlemler ve dosyalar oluşturma ve dosyaları indirme. Araştırmacılar, “Grafikan ile bilinen Ketrican arka kapısı arasındaki işlevsellik benzerlikleri, grubun kendisine atfedilen faaliyetlerle pek ilgilenmediğini gösterebilir.”
Avivi bunu farklı görüyor. “Gerçek şu ki, APT grupları gerçekten verimlilik arıyor” diyor. “Diyelim ki bir aracın saldırı başlatmak veya arka kapıları açmak için etkili olduğu kanıtlandı. Bu durumda, etkinliğini yitirene veya durdurulana kadar onu kullanmaya devam edecekler. Ar-Ge, tıpkı şirketler için olduğu gibi rakipler için de zaman ve paraya mal oluyor.”
APT15 Kimdir?
Symantec’e göre, APT15 yaklaşık yirmi yıldır piyasada. Grup, son yıllarda en büyük dalgalarını yaptı, ancak o kadar ki 2021’de Microsoft’un Dijital Suçlar Birimi, bilinen altyapısına koordineli bir şekilde el koydu. Microsoft’un bu koordineli eylemi bile, bir yıl sonra toplu halde Uygur nüfusunu hedef alan bir casus yazılım kampanyasıyla geri dönen APT15’i durdurmaya yetmedi.
APT15’e karşı sertleşmeyle ilgilenen kuruluşlar, enfeksiyon vektörleriyle başlamak istemeyebilir. Symantec, grubun kimlik avı e-postaları kullandığı biliniyor, “ancak aynı zamanda, kurban ağlarına ilk erişim elde etmek için VPN’leri kullanmanın yanı sıra halka açık uygulamalardan yararlandığına dair raporlar da var” dedi.
Öte yandan, APT15’in kötü amaçlı yazılımındaki göreli tutarlılık, savunucuların yararına olabilir.
APT15’in büyük ölçüde benzer kötü niyetli arka kapıları yeniden düzenlemesine işaret eden Avivi, “Düşmanlar hedeflerine ulaşmak için kanıtlanmış teknikleri kullanacak” diyor. “Bilinen modellere ve döngülere karşı güvenlik kontrollerini doğrulamanın, şirketlerin bu tehdit aktörlerine karşı daha iyi savunma yapmasına yardımcı olmasının birçok nedeni arasında bu da var.”