Çin devlet destekli aktörler, en azından Mart 2023'ten beri araştırmacıların Crimson Palace olarak izlediği bir siber boyama kampanyasında bir devlet kurumunu hedefliyorlar.
Siber güvenlik şirketi Sophos'un bir raporuna göre, kampanya yeni kötü amaçlı yazılım varyantlarına ve koordineli bir saldırıyı gösteren üç farklı etkinlik kümesine dayanıyordu.
İlk erişim belirlenemese de, araştırmacılar, daha önce Çin tehdit grubu Mustang Panda ile ilişkili özel Nupakage kötü amaçlı yazılımlarını kullanan 2022'nin başlarına ait ilgili faaliyetleri gözlemlediler.
Sophos, "BackDoordiplomacy", "Ref5961", "Worok", "TA428" ve APT41 alt grup Longzhi gibi bilinen Çin tehdit gruplarına bağlı üç aktivite kümesini belirledi.
Analistler, bu kümelerin işleyişinin tek bir kuruluş altında merkezi olarak koordine edildiğine dair yüksek bir güvenle değerlendirildi.
Küme Alpha (STAC1248): Mart ayının başından Ağustos 2023'e kadar aktif olarak, güvenlik ajansı ağ iletişimlerini bozabilen güncellenmiş 'Eagerbee' kötü amaçlı yazılım varyantlarını dağıtmaya odaklandı.
Ana amaç, Active Directory altyapısında keşif yaparak sunucu alt ağlarını haritalamak ve yönetici hesaplarını numaralandırmaktı.
Etkinlik, Merlin Agent, PhantomNet Backdoor, Rudebird kötü amaçlı yazılım ve PowHeartBeat Backdoor dahil olmak üzere birden fazla kalıcı komut ve kontrol (C2) kanalına dayanıyordu.
Tespitten kaçınmak için, tehdit oyuncusu, yüksek sistem ayrıcalıklarıyla hizmet kalıcılığı için yaşam süresi ikili (Lolbins) kullandı ve sekiz benzersiz DLL ile DLL yan yükleme, Windows hizmetlerinden ve meşru Microsoft ikili dosyalarından yararlandı.
Küme Bravo (STAC1807): Mart 2023'te sadece üç hafta boyunca aktif olarak, yanal hareket ve kalıcılığa odaklandı ve daha önce bilinmeyen bir arka kapıyı hedef sistemlere bıraktı. Arka kapı harici C2 iletişimi kurdu, keşif yaptı ve atılan kimlik bilgileri yaptı.
Aktör, arka kapı dağıtımını gizlemek ve yanal hareketi kolaylaştırmak için imzalı yandan yüklenebilir ikili sürümleri kullandı ve aynı zamanda NTDLL.dll'nin üzerine yazarken, çekirdekten Sophos uç nokta koruma ajanı sürecini çıkarmak için.
Cluster Charlie (SCAT1305): Mart 2023'ten en azından Nisan 2024'ten aktif olarak, uzun bir süre boyunca kalıcı erişim yönetimi ve kapsamlı keşifle uğraştı.
Aktör, kalıcı C2 iletişimleri için kullanılan 'Pocoproxy' adlı daha önce tanımlanamayan bir kötü amaçlı yazılımdan birden fazla örneği kullandı. Ayrıca, bu denemeler engellenmesine rağmen, MSTSC.EXE'ye bir kobalt grev işaretini enjekte etmek için HUI yükleyicisini kullandılar.
Buna ek olarak, tehdit oyuncusu, alan denetleyicileri üzerindeki kimlik bilgilerini yakalamak için bir LSASS oturum açma kimlik önleme enjekte etti ve ağdaki kullanıcıları ve uç noktaları haritalamak için olay günlüklerinin ve otomatik ping taramalarının kütle analizini gerçekleştirdi.
Kızıl Saray kampanyası, Güneydoğu Asya hükümetinin bir ajansını siber sorumluluk amacıyla hedefledi.
Sophos, "Çin devlet destekli birçok farklı aktörün, en azından Mart 2022'den beri bu yüksek profilli Güneydoğu Asya hükümet organizasyonunda aktif olduklarına dair ılımlı bir güvenle değerlendiriyoruz."
"Şu anda yüksek güven atıfı gerçekleştiremesek veya bu kümeler arasındaki ilişkinin doğasını doğrulayamamış olsak da, mevcut araştırmamız, kümelerin Çin devlet çıkarları peşinde paralel hedeflere sahip merkezi bir otoritenin görevini yansıttığını göstermektedir. " - Sophos
Genel olarak, üç küme standart Çin çalışma saatlerinde (08:00 - 05:00 CST) faaliyet göstererek, dönemin üst üste gelmeyen üç parçaya bölünmesi ve bu da yüksek bir koordinasyonu gösteren üç parçaya bölmesi.
Sophos, hedef ülkede bir tatil olan 12 Haziran 2023'te olduğu gibi bazı durumlarda kötü niyetli etkinliğin arttığını buldu. Bu, savunucuların yetersiz kaldığı ve sistemlerin bu kadar yakından izlenmediği bir zamanda faaliyet gerçekleştirmesi muhtemeldi.
Görünürlük eksikliği nedeniyle, Sophos ilk erişimi belirleyemedi, ancak tehdit oyuncusunun en azından Mart 2022'den bu yana, tipik olarak verileri dışarı atmak için kullanılan NuPakage kötü amaçlı yazılımlarının tespitine dayanarak değerlendiriyor.
Yüksek güvene atıfta bulunma veya üç küme arasındaki ilişkiyi doğrulamak zordur, Sophos araştırmacıları tespit edilen faaliyetin "merkezi bir otoritenin görevlendirdiği ayrı aktörlerin, Çin devlet çıkarlarının peşinde paralel hedeflere sahip" çalışmasını temsil ettiğine inanırlar.
Sophos, Ağustos 2023'te tehdit oyuncusu C2 implantlarını engellemiş olsa da ve o zamandan beri küme alfa faaliyeti görülmemiş olsa da, araştırmacılar Charlie'nin birkaç haftalık sessizlikten sonra gözlemlendiğini ve rakiplerin ağı ihlal etmeye ve operasyonları sürdürmeye çalıştığını söylüyor " daha yüksek bir tempo ve daha kaçınılmaz bir şekilde. "
Sophos, hedef ağdaki saldırı etkinliğini izlemeye devam ediyor.
Çinli hackerlar 6 yıldır askeri ve govt ağlarında saklanıyor
Rus Sandworm Hackers, su hizmetlerinde hacktivist olarak poz veriyor
Kimuky Hacker'ları Güney Kore'ye yapılan saldırılarda yeni Linux arka kapı kullandı
İranlı korsanlar, arka kapı kötü amaçlı yazılımları zorlamak için gazeteci olarak poz verir
Hackerlar, 'Dama' web mermilerini yüklemek için 2018 thinkphp kusurlarını istismar
Kaynak: Bleeping Computer