Güney ve Güneydoğu Asya’da bulunan hükümet, havacılık, eğitim ve telekom sektörleri, 2022’nin ortalarında başlayan ve 2023’ün ilk çeyreğine kadar devam eden yüksek hedefli bir kampanyanın parçası olarak yeni bir bilgisayar korsanlığı grubunun radarına girdi.
Broadcom Software tarafından geliştirilen Symantec, etkinliği böcek temalı lakabıyla takip ediyor mızrak böceğiMerdoor adlı “güçlü” bir arka kapıdan yararlanan saldırılarla.
Şimdiye kadar toplanan kanıtlar, özel implantın 2018 yılına kadar kullanıldığını gösteriyor. Araçlara ve mağduriyet modeline dayanan kampanyanın nihai hedefinin istihbarat toplama olduğu değerlendiriliyor.
Symantec, “Arka kapı çok seçici bir şekilde kullanılıyor, yıllar içinde yalnızca bir avuç ağda ve az sayıda makinede görülüyor ve kullanımı oldukça hedeflenmiş gibi görünüyor.” söz konusu The Hacker News ile paylaşılan bir analizde.
“Bu kampanyadaki saldırganlar, ZXShell rootkit’in güncellenmiş bir sürümüne de erişebilir.”
Kullanılan tam ilk izinsiz giriş vektörü şu anda net olmasa da, kimlik avı tuzaklarının, SSH kaba zorlamanın veya internete açık sunucuların kötüye kullanılmasının kullanımını içerdiğinden şüpheleniliyor.
Saldırı zincirleri nihayetinde, daha fazla komut ve günlük tuş vuruşları için aktör kontrollü bir sunucuyla iletişim kurabilen tam özellikli bir kötü amaçlı yazılım olan ZXShell ve Merdoor’un konuşlandırılmasına yol açar.
ZXShell, ilk belgelenmiş Ekim 2014’te Cisco tarafından geliştirilen, virüs bulaşmış ana bilgisayarlardan hassas verileri toplamak için çeşitli özelliklerle birlikte gelen bir rootkit’tir. ZXShell’in kullanımı, aşağıdakiler gibi çeşitli Çinli aktörlerle ilişkilendirilmiştir: APT17 (Aurora Panda) ve APT27 (aka Budworm veya Temsilci Panda) geçmişte.
Symantec, “Bu rootkit’in kaynak kodu herkese açık olduğundan, birden çok farklı grup tarafından kullanılabilir” dedi. “Lancefly tarafından kullanılan rootkit’in yeni sürümünün boyutu daha küçük görünüyor, aynı zamanda ek işlevlere sahip ve ek antivirüs yazılımlarını devre dışı bırakmayı hedefliyor.”
Başka bir Çin bağlantısı, ZXShell rootkit’in “Wemade Entertainment Co. Ltd” sertifikasıyla imzalanmış olmasından kaynaklanmaktadır. önceden rapor edildi Ağustos 2019’da Mandiant tarafından APT41 (namı diğer Winnti) ile ilişkilendirilecek.
Gerçek Zamanlı Koruma ile Fidye Yazılımını Durdurmayı Öğrenin
Web seminerimize katılın ve gerçek zamanlı MFA ve hizmet hesabı koruması ile fidye yazılımı saldırılarını nasıl durduracağınızı öğrenin.
Lancefly’ın izinsiz girişlerinin, PlugX ve onun halefi ShadowPad’i kullandığı da belirlendi; ikincisi, 2015’ten beri çok sayıda Çin devlet destekli aktör arasında özel olarak paylaşılan modüler bir kötü amaçlı yazılım platformudur.
Bununla birlikte, şu da biliniyor ki sertifika ve araç paylaşımı Çin devlet destekli gruplar arasında yaygındır ve bilinen belirli bir saldırı ekibine atıfta bulunulmasını zorlaştırır.
Symantec, “Merdoor arka kapısı birkaç yıldır var gibi görünse de, o dönemde yalnızca az sayıda saldırıda kullanılmış gibi görünüyor” dedi. “Aracın bu ihtiyatlı kullanımı, Lancefly’ın faaliyetlerini radar altında tutma arzusunu gösterebilir.”
