Birden fazla ABD devlet kurumunu hedef alan aylarca süren kötü niyetli bir kampanya, son yıllarda sayısız siber casusluk kampanyasıyla ilişkili Çin destekli bir tehdit aktörü olan APT41’in karmaşıklığını ve ısrarlı ısrarını bir kez daha vurguladı.
Mandiant’taki araştırmacılar, kampanyayı ilk olarak geçen Mayıs ayında bir ABD eyalet hükümet ağına yapılan bir APT41 saldırısına yanıt verirken fark ettiler. O zamandan beri, güvenlik sağlayıcısı, tehdit aktörünün ortamlarındaki Web uygulaması güvenlik açıklarından yararlanarak bir eyalet hükümeti ağını tehlikeye attığı en az altı örnek belirledi.
Uzlaşmaların üçünde, APT41 tehdit aktörleri, şu anda 18 eyalet hükümetinin kullandığı çiftlik hayvanlarını izlemek için kullanıma hazır bir uygulama olan USAHerds’teki sıfır gün kusurundan yararlandı. Diğer iki uzlaşma, Aralık ayında açıklanan iyi bilinen Apache Log4j güvenlik açığından yararlanmayı içeriyordu. Log4j güvenlik açığına (CVE-2021-44228) yönelik saldırılar, Apache Foundation’ın bunu açıklamasından sadece iki gün sonra gerçekleşti ve bu, APT41’in yeni kusurlardan yararlanma hızını gösterdi.
Kalıcı ve Hedefli
Saldırıların dikkate değer bir yönü, ne kadar ısrarcı ve hedefli olduklarıdır. Mandiant’a göre. Sömürülebilir güvenlik açıkları için toplu tarama içeren birçok APT41 saldırısından farklı olarak, Mandiant’ın Mayıs 2021 ile Şubat 2022 arasında gözlemlediği uzlaşmalar spesifik ve hedefli görünüyordu. Mandiant’ın APT41 etkinliğini tespit edip içerdiği birkaç durumda, tehdit aktörü USAHerds uygulamasındaki sıfırıncı gün güvenlik açığını (CVE-2021-44207) ağa yeniden erişim sağladı.
Benzer şekilde, geçen ayın sonlarında Mandiant, tehdit aktörünün daha önce sızdığı ve önlendiği iki devlet kurumunun ağını bir kez daha tehlikeye atmayı başardığını keşfetti.
Mandiant, APT41’in bir hedef ağa ilk erişim sağladıktan sonra kapsamlı keşif ve kimlik bilgisi toplama gerçekleştirdiğini gözlemlese de, güvenlik sağlayıcısı, tehdit aktörünün kampanya için daha geniş amaçlarını belirleyemediğini söyledi. Ancak kampanya, APT41’in yeni kötü amaçlı yazılım türevleri, teknikler, şaşırtma ve kaçınma yeteneklerini kullandığını gösterdi. Mandiant bir raporda şunları söyledi: Bu hafta. Raporda, APT41’in yeni kampanyasının ABD’deki eyalet hükümet sistemlerine erişim kazanmaya yönelik aralıksız girişimleri temsil ettiği belirtildi.
Mandiant’taki gelişmiş uygulamalardan sorumlu baş tehdit analisti Van Ta, APT41’in en son kampanyasına birkaç yeni taktik, teknik ve prosedür eklediğini söylüyor. Ta, Log4j zero day gibi yeni saldırı vektörlerinin hızlı bir şekilde benimsenmesini ve komuta ve kontrol için modüler bir arka kapı olan KEYPLUG’ın portlu bir Linux sürümünün dağıtımını içerdiğini söylüyor. Tehdit aktörü ayrıca, örneğin, kötü amaçlı yazılım iletişimlerini maskelemek için yasal Web hizmetlerinin kullanımını artırarak, güvenliği ihlal edilmiş ağlarda gizli kalma tekniklerinde ince ayarlar yaptığını söylüyor.
Ta ayrıca, tehdit aktörünün en son kampanyada kötü amaçlı yazılımını kurban ortamlarına nasıl uyarladığının bir örneği olarak APT41’in LOWKEY adlı pasif bir arka kapı kullanımına da işaret etti. Arka kapı, hedef ortamdaki normal Web trafiğine karışan belirli bir kalıpla eşleşen gelen bağlantıları dinlemek için tasarlandığını söylüyor.
Microsoft Exchange Sunucusu Kusur Benzerliği
Mandiant, USAHerds’teki (CVE-2021-44207) güvenlik açığını, Microsoft Exchange Server’da (CVE-2020-0688) daha önce ifşa edilen ve saldırganlara güvenlik açığı bulunan sistemlerde kötü amaçlı kodu uzaktan yürütme yolu sağlayan bir ayrıcalık yükseltme hatasına benzer olarak tanımladı. Microsoft güvenlik açığı gibi, USAHerds’deki güvenlik açığı da varsayılan olarak statik bir “machineKey” içeriyordu.
Ta, “Makine Anahtarı, istemci ile .NET sunucusu arasında güvenli iletişim için kullanılan şifreleme anahtarlarını içeren bir .NET öğesidir” diyor. “Bu anahtarlara erişim sayesinde APT41, aynı konfigürasyona sahip herhangi bir USAHerds sunucusunu kodlarını yürütmeleri için manipüle edebildi.”
Ta, APT41’in USAHerds uygulamasındaki güvenlik açığını birden fazla ortamda bir dayanak noktası olarak kullandığını söylüyor. “Bir giriş yolu kurduktan sonra, APT41’in ağın diğer bölümlerine döndüğünü gözlemledik” diyor.
Winnti, Barium, Wicked Panda ve Wicked Spider olarak da bilinen APT41, ABD hükümetinin ve diğerlerinin Çin Devlet Güvenlik Bakanlığı ve Pekin hükümetiyle bağları olduğunu belirttiği üretken bir tehdit aktörüdür. Bazı güvenlik sağlayıcılarının Çin merkezli en aktif aktör olarak tanımladığı grup, 100 ülkede hükümet ve özel kuruluşlara karşı fidye yazılımı saldırıları, siber casusluk ve kripto hırsızlığı planları dahil olmak üzere düzinelerce bilgisayar müdahalesiyle ilişkilendirildi.
Eylül 2020’de ABD hükümeti, grubun beş üyesini 100’den fazla kuruluşa yönelik çok çeşitli siber saldırılara katıldıkları iddiasıyla suçladı. Suçlananlar arasında, ABD savcılarının yazılım satıcı sistemlerine girmekten ve bunları kötü amaçlı yazılım dağıtmak için kullanmaktan sorumlu olduğunu iddia ettiği Chengdu 404 Network Technology adlı Çin merkezli Chengdu şirketinin operatörleri de vardı. O sırada birkaç güvenlik uzmanı, Çin’deki bireylere yönelik ABD iddianamelerinin APT41’i caydırmak için herhangi bir şey yapma olasılığının düşük olduğuna dikkat çekmişti.
Ta, “APT41’in operasyonel temposu, 2020’deki ABD Adalet Bakanlığı iddianamesinden sonra değişmeden kaldı” diyor. “Araştırmamız, eyalet hükümetlerine karşı kasıtlı bir kampanyayı detaylandırıyor, ancak onların sömürü yöntemleri, konumlarından bağımsız olarak çok sayıda Web uygulaması ve endüstride etkilidir.”
Grubun odak noktası ABD eyaletleriydi, ancak bu aynı teknikleri kullanarak hızla farklı bir hedefe dönüşebilir, diye uyarıyor.
Daxin Siber Casusluk Aracı
APT41, ticari sırları ve özel verileri çalmaktan casusluğa, fidye yazılımlarına ve finansal kazanç için diğer saldırılara kadar her şeye odaklanan bir saldırı dalgasında ABD’deki ve başka yerlerdeki kuruluşları hedef alan Çin merkezli birkaç gruptan biridir. Bu saldırıların çoğu, yüksek derecede karmaşıklık ve gelişmişlik içeriyor. Daha bu hafta, Symantec kapsamlı iki bölümden oluşan bir programın ilk bölümünü yayınladı. Daxin’in analiziÇin merkezli aktörler tarafından kullanılan bir siber casusluk aracı olan güvenlik satıcısı açıkladı Ülkede şimdiye kadar gördüğü en sofistike olarak.
Symantec Threat Intelligence Team’in baş editörü Dick O’Brien, şirketteki araştırmacıların kötü amaçlı yazılım ile Slug veya Owlproxy adlı bir grup arasında bir bağlantı bulduğunu söylüyor. Kötü amaçlı yazılımı özellikle rahatsız edici yapan şey, yasal trafikte saklanarak sessizce iletişim kurabilmesi ve doğrudan İnternet bağlantısı olmayan son derece güvenli ağlara sızmaya ve onlardan veri sızdırmaya yönelik tasarımıdır.
O’Brien, “Derin penetrasyon, Daxin’in virüslü bilgisayar düğümlerinden oluşan eşler arası bir ağ oluşturma yeteneği sayesinde kolaylaştırılıyor” diyor. Kötü amaçlı yazılım, saldırganlara güvenli bir ağdaki bilgisayarlardan daha az güvenli ana ağa ve ardından İnternet üzerinden saldırganlara geri dönen bir düğüm zinciri oluşturmanın bir yolunu sunar.
“Güvenli ağların derinliklerine gizlice girme yeteneği ile birlikte gizli iletişim yeteneği oldukça güçlü bir kombinasyon” diye ekliyor.
