Winnti olarak bilinen Çin bağlantılı tehdit oyuncusu, adlı yeni bir kampanyaya atfedildi Canlandırıcı taşı Bu, Mart 2024’te üretim, malzeme ve enerji sektörlerinde Japon şirketlerini hedef aldı.
Etkinlik, ayrıntılı Japon siber güvenlik şirketi Lac tarafından, trend micro tarafından APT41 siber casusluk grubu içinde bir alt küme olduğu değerlendirilen bir tehdit kümesi ile örtüşüyor. Ayrıca cyberseason tarafından cuckkoobees operasyonu altında ve blackfly olarak Symantec tarafından izlenir.
APT41, casusluk saldırılarını monte etme ve tedarik zincirini zehirleme yeteneğine sahip son derece yetenekli ve metodik bir aktör olarak tanımlanmıştır. Kampanyaları genellikle gizli göz önünde bulundurularak tasarlanmıştır, yalnızca çevreye yüklenen güvenlik yazılımını atlamakla kalmayıp aynı zamanda kritik bilgileri hasat etmekte ve kalıcı uzaktan erişim için gizli kanallar oluşturan özel bir araç seti kullanarak hedeflerine ulaşmak için bir dizi taktikten yararlanır.
Lac, “Grubun birçoğu ülkenin stratejik hedefleriyle uyumlu casusluk faaliyetleri, dünyanın dört bir yanındaki çok çeşitli kamu ve özel endüstri sektörlerini hedef aldı.” Dedi.
“Bu tehdit grubunun saldırıları, iletişimin gizlenmesine ve manipülasyonuna ve kötü amaçlı yazılımlarda çalıntı, meşru dijital sertifikaların kullanılmasına izin veren benzersiz bir rootkit olan Winnti kötü amaçlı yazılım kullanımı ile karakterize edilmektedir.”
En az 2012’den beri aktif olan Winnti, 2022 itibariyle Asya’da üretim ve malzeme ile ilgili kuruluşları seçti. Son kampanyalar Kasım 2023 ile Ekim 2024 arasında Asya-Pasifik (APAC) bölgesini hedefleyen IBM Lotus Domino gibi kamuya açık uygulamalarda kötü amaçlı yazılımları aşağıdaki gibi dağıtmak için zayıflıklardan yararlanıyor-
- Deathlotus – Dosya oluşturma ve komut yürütmeyi destekleyen pasif bir CGI arka kapısı
- Unparmon – C ++ ‘da yazılmış bir savunma kaçırma hizmeti
- Müstehcen – Winnkit adında bir çekirdek seviyesi rootkit sunan Winnti Rat’ı (diğer adıyla dağıtım) bırakmak için kullanılan bir yükleyici, bir rootkit yükleyici aracılığıyla
- Cunningpigeon – Posta mesajlarından komutları – dosya ve işlem yönetimi ve özel proxy – almak için Microsoft Graph API kullanan bir arka kapı
- Windjammer – TCPIP Ağ Arabirimini engelleme özelliklerine sahip bir rootkit, intranet içinde enfekte uç noktalara sahip gizli kanallar oluşturma
- Shadowgaze – IIS web sunucusundan dinleme bağlantı noktasını yeniden kullanan pasif bir arka kapı
LAC tarafından belgelenen en son saldırı zincirinin, Çin kıyıcısı ve arkası (aka bingxia ve icescorpion) gibi web kabuklarını, erişim kullanarak, belirtilmemiş bir kurumsal kaynak planlaması (ERP) sisteminde bir SQL enjeksiyon kırılganlığından yararlandığı bulunmuştur. Keşif yapmak, yanal hareket için kimlik bilgileri toplamak ve Winnti kötü amaçlı yazılımlarının geliştirilmiş bir versiyonunu sunmak.
İzinsiz girişin erişiminin, ortak bir hesaptan yararlanarak yönetilen bir servis sağlayıcıyı (MSP) ihlal etmek için daha da genişletildiği ve ardından kötü amaçlı yazılımları diğer üç kuruluşa yaymak için şirketin altyapısını silahlandırdığı söyleniyor.
Lac, Revivalstone kampanyasında Treadstone ve Stonev5’e referanslar bulduğunu, birincisi Winnti kötü amaçlı yazılımlarla çalışmak üzere tasarlanmış ve aynı zamanda dahil edilen bir denetleyici olduğunu söyledi. Ben-soon (aka ankssun) sızıntı ile ilgili geçen sene Linux kötü amaçlı yazılım kontrol paneli ile bağlantılı olarak.
Araştırmacılar Takuma Matsumoto ve Yoshihiro Ishikawa, “Treadstone Winnti kötü amaçlı yazılımla aynı anlama sahipse, sadece spekülasyondur, ancak Stonev5 de sürüm 5 anlamına gelebilir ve bu saldırıda kullanılan kötü amaçlı yazılımların Winnti v5.0 olması mümkündür. .
“Yeni Winnti kötü amaçlı yazılım, gizleme, güncellenmiş şifreleme algoritmaları ve güvenlik ürünleri tarafından kaçırma gibi özelliklerle uygulandı ve bu saldırgan grubunun Winnti kötü amaçlı yazılımlarının işlevlerini güncellemeye ve saldırılarda kullanmaya devam etmesi muhtemeldir.”
Açıklama Fortinet Fortiguard Labs olarak geliyor ayrıntılı Kasım 2024’ten bu yana kalıcı erişim ve gizli eylemler sürecine kötü amaçlı yazılım enjekte ederek ağ cihazlarındaki SSH daemon’u ele geçirmek için donanımlı SSHDInjector olarak adlandırılan Linux tabanlı bir saldırı paketi.
Daggerfly olarak bilinen başka bir Çin ulus-devlet hackleme grubuyla ilişkili kötü amaçlı yazılım paketi (diğer adıyla bronz yayla ve kaçan panda), veri açığa çıkması için tasarlanmıştır, uzak bir sunucudan çalışma işlemlerini ve hizmetlerini numaralandırmak için gelen talimatları dinler, dosya işlemlerini gerçekleştirmek, dosya işlemlerini yapmak, Terminali başlatın ve terminal komutlarını yürüt.
