Giriş
Siber güvenlik uzmanları, Avrupa ve Güneydoğu Asya’daki kurumları hedef alan Silver Dragon adlı gelişmiş kalıcı tehdit (APT) grubunun detaylarını ortaya koydu. Bu grubun, siber saldırıları en az 2024 ortalarından beri aktif olduğu değerlendiriliyor.
Saldırı Nasıl Çalışıyor?
Silver Dragon, başlangıç erişimini kamuya açık internet sunucularındaki açıkları istismar ederek ve kötü niyetli ekleri içeren oltalama e-postaları göndererek elde ediyor. Grubun, kalıcılığı sağlamak için meşru Windows hizmetlerini kaçırarak kötü amaçlı yazılım süreçlerinin normal sistem faaliyetleriyle harmanlanmasına olanak tanıdığı bildirilmektedir.
Silver Dragon’un, APT41 çerçevesinde faaliyet gösterdiği değerlendiriliyor. APT41, sağlık, telekomünikasyon, yüksek teknoloji, eğitim, seyahat hizmetleri ve medya sektörlerinde 2012 yılından bu yana siber casusluk faaliyetleriyle bilinen aktif bir Çinli hacker grubudur ve devlet kontrolü dışında maddi kazanç elde etmeye yönelik eylemlerde de bulunduğu düşünülmektedir.
Saldırıların çoğunlukla hükümet kurumlarını hedef aldığı, tehdit aktörünün ele geçirilen sistemlerde kalıcılık sağlamak için Cobalt Strike işaretçilerini kullandığı tespit edilmiştir. Ayrıca, tespit edilmeden geçmek için komut ve kontrol (C2) iletişimini sağlamak amacıyla DNS tünelleme gibi teknikler kullanıldığı biliniyor.
Etkilenen Sistemler
Check Point, Cobalt Strike’ı dağıtmak için üç farklı enfeksiyon zinciri belirledi:
- AppDomain kaçırma
- Servis DLL
- Oltalama e-postası
İlk iki enfeksiyon zinciri, operasyonel üst üste binen özellikler sergileyerek, kamuya açık açık sunucuların ele geçirilmesinden sonra sıkça kullanılmaktadır. Bu zincirler, bir RAR arşivi ile kullanılarak dağıtılmakta ve her biri belirli kötü amaçlı yazılımlar içermektedir.
Servis DLL zinciri, BamboLoader adında bir shellcode DLL yükleyici kullanarak bir Windows servisi olarak kaydedilmektedir. Bu çok karmaşık bir C++ kötü amaçlı yazılımdır ve disk üzerindeki shellcode’u şifresiz hale getirip, meşru bir Windows işlemi olan “taskhost.exe” içine enjekte etmektedir.
Oltalama Taktikleri
Üçüncü enfeksiyon zinciri, başta Özbekistan’ı hedef alan bir oltalama kampanyasıdır ve Windows kısayolları (LNK) olarak kötü amaçlı dosyalar içermektedir. Bu LNK dosyası, “cmd.exe” aracılığıyla PowerShell kodunu başlatmayı amaçlamakta ve bir dizi dosyayı çıkartıp çalıştırmaktadır:
- Decoy belge
- DLL yan yüklemeye maruz kalan meşru yürütülebilir dosya (“GameHook.exe”)
- Kötü amaçlı DLL olan BamboLoader (“graphics-hook-filter64.dll”)
- Şifrelenmiş Cobalt Strike yükü (“simhei.dat”)
Ayrıca, bu saldırılar şu post-exploitation araçlarının dağıtımı ile de tanımlanmaktadır:
- SilverScreen: .NET tabanlı ekran izleme aracı.
- SSHcmd: .NET tabanlı uzaktan komut yürütme ve dosya transferi sağlamak için kullanılan araç.
- GearDoor: MonikerLoader ile benzerlik gösteren bir NET arka kapısı.
Çözüm ve Korunma
Silver Dragon’un saldırı tespit ve yanıt mekanizmalarında belirgin bir uyum sağlamak için, aşağıdaki korunma önerilerine uyulması önemlidir:
- Tüm sistemler ve yazılımlar güncellenmeli.
- Kamuya açık sunuculardaki açıklar kapatılmalı.
- Antivirüs ve güvenlik yazılımları güncel tutulmalı.
Yakalama ve yükleme dosyalarının yanı sıra, kötü amaçlı yazılımlar farklı dosya uzantıları kullanarak görevlerini gerçekleştirmektedir. Kullanıcıların, bu tür uzantılardan gelecek dosyalara karşı dikkatli olması gerekir.
Sonuç olarak, sistemlerinizi korumak için tüm güncellemeleri uygulayın ve şüpheli e-postalardan uzak durun. Kötü niyetli yazılımlara karşı savunma hatlarınızı güçlendirmek, bu tür tehditlere karşı etkili bir koruma sağlayacaktır.
