Lancefly olarak adlandırılan yeni bir Hacking grubu, Güney ve Güneydoğu Asya'daki hükümeti, havacılık ve telekomünikasyon organizasyonlarını hedeflemek için özel bir 'Merdoor' arka kapı kötü amaçlı yazılım kullanıyor.
Symantec Tehdit Laboratuarları, Lancefly'nin 2018'den bu yana devam eden saldırılarda gizli saldırılarda, komutlar oluşturmak ve kurumsal ağlarda anahtarlık yapmak için yüksek hedefli saldırılarda kullandığını açıkladı.
Yeni Symantec raporunda, "LanceFly’nin Merdoor olarak adlandırdığımız özel kötü amaçlı yazılımı, 2018'den beri var gibi görünen güçlü bir arka kapı."
"Symantec araştırmacıları, 2020 ve 2021 yıllarında bazı etkinliklerde kullanıldığını ve 2023'ün ilk çeyreğine kadar devam eden bu daha yeni kampanyada kullanıldığını gözlemlediler. Her iki kampanyanın arkasındaki motivasyonun istihbarat toplama olduğuna inanılıyor."
Lancefly, kurbanlarının ağlarından istihbarat toplamayı amaçlayan siber-karşıtlığa odaklandığına inanılıyor.
Symantec, Lancefly tarafından kullanılan ilk enfeksiyon vektörünü keşfetmedi. Bununla birlikte, tehdit grubunun kimlik avı e-postaları, SSH kimlik bilgileri kaba zorlama ve yıllar boyunca yetkisiz erişim için halka açık sunucu güvenlik açıkları kullandığına dair kanıt bulmuştur.
Saldırganlar hedefin sisteminde bir varlık oluşturduktan sonra, DLL yan yükleme yoluyla 'perfhost.exe' veya 'svchost.exe', kötü amaçlı yazılımların tespitinden kaçmasına yardımcı olan meşru Windows işlemlerine enjekte ederler.
Merdoor, Lancefly'nin kurbanın sistemine erişimlerini ve dayanaklarını korumasına yardımcı olur ve kendini yeniden başlatmalar arasında devam eden bir hizmet olarak kurar.
Merdoor daha sonra desteklenen birkaç iletişim protokolünden (HTTP, HTTPS, DNS, UDP ve TCP) birini kullanarak C2 sunucusu ile iletişim kurar ve talimatları bekler.
C2 sunucusu ile veri alışverişini desteklemenin yanı sıra, Merdoor yerel bağlantı noktalarını dinleyerek komutları da kabul edebilir; Ancak, Symantec'in analistleri belirli bir örnek vermedi.
Arka kapı ayrıca, kullanıcı adları, şifreler veya diğer sırlar gibi potansiyel olarak değerli bilgileri yakalamak için kullanıcı tuşlarını da kaydeder.
Lancefly, SMB aracılığıyla uzak bir makinede planlanmış bir görevi hemen yürütmek için Impacket'in 'Atexec' özelliği kullanılarak da gözlemlenmiştir. Tehdit aktörlerinin bu özelliği ağdaki diğer cihazlara yanal olarak yaymak veya diğer komutlardan oluşturulan çıktı dosyalarını silmek için kullandıklarına inanılmaktadır.
Saldırganlar, LSASS sürecinin hafızasını boşaltarak veya SAM ve Sistem Kayıt Defteri kovanlarını çalarak kimlik bilgilerini çalmaya çalışır.
Son olarak, Lancefly, Winrar Arşivleme aracının maskeli bir sürümünü kullanarak dosyaları çalınır ve daha sonra büyük olasılıkla Merdoor'u kullanarak verileri söndürür.
Lancefly saldırılarında Zxshell rootkit'in daha yeni, daha hafif ve daha fazla özellik açısından zengin bir versiyonunun kullanılması da gözlendi.
RootKit'in yükleyicisi "Formdii.dll", ana bilgisayarın sistem mimarisine uygun yükleri bırakmak, bir dosyadan Shellcode'u okuyan ve yürütürken, işlemleri öldürür ve daha fazlasını dışa aktarır.
Rootkit ayrıca, Ortak Kodu paylaşan bir kurulum ve güncelleme yardımcı programı kullanır ve LanceFly'nin araçları için paylaşılan bir kod tabanı kullandığını gösterir.
ZXShell'in kurulum işlevselliği, hizmet oluşturma, kaçırma ve başlatma, kayıt defteri modifikasyonu ve kaçınma ve esneklik için kendi yürütülebilir dosyasının bir kopyasını sıkıştırmayı destekler.
Zxshell rootkit, LanceFly'i ATP17 ve APT41 dahil olmak üzere saldırılarda kullanan diğer Çin APT gruplarına gevşek bir şekilde bağlar.
Bununla birlikte, bağlantı zayıftır, çünkü rootkit'in kaynak kodu birkaç yıl boyunca kamuya açıktır.
Lancefly'nin "Formdll.dll" adlı rootkit yükleyicisi için adı daha önce APT27, yani "Budworm" adlı bir kampanyada bildirilmişti.
Bununla birlikte, bunun analistleri yanlış yönlendirmenin ve atıfta bulunmayı zorlaştırmanın amaçlı bir seçim olup olmadığı belirsizdir.
Lancefly'in Çin kökenli hipotezini daha da destekleyen bir unsur, birkaç Çin APT grubu arasında paylaşılan Plugx ve ShadowPad sıçanlarının (uzaktan erişim truva atları) gözlemlenen kullanımıdır.
'Acı' Casusluk Bilgisayar korsanları Çin nükleer enerji kuruluşlarını hedefleyin
2018'den beri yeni maruz kalan apt43 hackleme grubu bizi orgs hedefliyor
Kış Vivern APT Hacker'ları kötü amaçlı yazılım yüklemek için sahte antivirüs taramaları kullanır
ESET, Tencent QQ kullanıcıları gizemli kötü amaçlı yazılım saldırısına hacklendi diyor
Çinli bilgisayar korsanları casusluk için yeni Linux kötü amaçlı yazılım varyantları kullanıyor
Kaynak: Bleeping Computer