Çin destekli tehdit aktörü Earth Baku, 2022’nin sonlarından itibaren hedef alanını Hint-Pasifik bölgesinin ötesine, Avrupa, Orta Doğu ve Afrika’yı da kapsayacak şekilde çeşitlendirdi.
Faaliyetin bir parçası olarak yeni hedeflenen ülkeler arasında İtalya, Almanya, BAE ve Katar yer alırken, Gürcistan ve Romanya’da da şüpheli saldırılar tespit edildi. Hükümetler, medya ve iletişim, telekomünikasyon, teknoloji, sağlık ve eğitim, saldırı setinin bir parçası olarak seçilen sektörlerden bazılarıdır.
“Grup, saldırılar için giriş noktası olarak IIS sunucuları gibi kamuya açık uygulamaları kullanarak daha yakın tarihli kampanyalarda araçlarını, taktiklerini ve prosedürlerini (TTP’ler) güncelledi ve ardından kurbanın ortamına karmaşık kötü amaçlı yazılım araç setleri yerleştirdi,” Trend Micro araştırmacıları Ted Lee ve Theo Chen söz konusu Geçtiğimiz hafta yayınlanan bir analizde.
Bulgular, Zscaler ve Google’ın sahibi olduğu Mandiant’ın yakın zamanda yayınladığı raporlara dayanıyor. Bu raporlarda tehdit aktörünün DodgeBox (diğer adıyla DUSTPAN) ve MoonWalk (diğer adıyla DUSTTRAP) gibi kötü amaçlı yazılım ailelerini kullandığı da ayrıntılı olarak açıklanıyor. Trend Micro, bu kötü amaçlı yazılımlara StealthReacher ve SneakCross adlarını verdi.
APT41 ile ilişkili bir tehdit aktörü olan Earth Baku, Ekim 2020’den beri StealthVector’ı kullanmasıyla biliniyor. Saldırı zincirleri, halka açık uygulamaların kötüye kullanılmasını içerir. Godzilla Daha sonra takip eden yükleri iletmek için kullanılan web kabuğu.
StealthReacher, Google hizmetlerinden yararlanarak komut ve kontrol (C2) iletişimi sağlayan ScrambleCross’un muhtemel halefi ve modüler bir eklenti olan SneakCross’u başlatmaktan sorumlu olan StealthVector arka kapı yükleyicisinin geliştirilmiş bir sürümü olarak sınıflandırıldı.
Saldırılar ayrıca, aşağıdakiler gibi diğer istismar sonrası araçların kullanımıyla da karakterize edilir: iox, Rakşasave Sanal Özel Ağ (VPN) hizmeti olarak bilinir Kuyruk ölçeğiHassas verilerin MEGA bulut depolama hizmetine sızdırılması, komut satırı yardımcı programı aracılığıyla gerçekleştirilir. MEGAkomut.
Araştırmacılar, “Grup, arka kapı bileşenlerini gizlice fırlatmak için StealthVector ve StealthReacher gibi yeni yükleyiciler kullandı ve en son modüler arka kapıları olarak SneakCross’u ekledi” dedi.
“Earth Baku ayrıca, özel bir iox aracı, Rakshasa, kalıcılık için TailScale ve verimli veri sızdırma için MEGAcmd dahil olmak üzere, sömürü sonrası birkaç araç kullandı.”