Daha önce bilinmeyen bir Çin hack grubu, 'Uzay Korsanları' olarak bilinen Rus havacılık endüstrisindeki işletmeleri, sistemlerine yeni kötü amaçlı yazılım yüklemek için kimlik avı e -postaları ile hedefler.
Tehdit grubunun 2017'de faaliyet göstermeye başladığına inanılıyor ve APT41 (Winnti), Mustang Panda ve APT27 gibi bilinen gruplarla bağlantıları olsa da, yeni bir kötü amaçlı aktivite kümesi olduğu düşünülüyor.
Pozitif teknolojilerdeki Rus tehdit analistleri, havacılık alanındaki şirketlerden gizli bilgileri çalmaya odaklanan casusluk operasyonları nedeniyle "Uzay Korsanları" grubunu seçti.
Uzay Korsanları APT Grubu, Rusya, Gürcistan ve Moğolistan'da bulunan BT hizmetleri, havacılık ve elektrik sanayilerinde yer alan devlet kurumlarını ve işletmeleri hedefleyen görülmüştür.
Tehdit analistleri ilk olarak geçen yaz olay tepkisi sırasında Space Pirates'in faaliyeti belirtileri keşfetti ve tehdit aktörlerinin 2019'dan bu yana en az dört yerli varlığa karşı aynı kötü amaçlı yazılım ve altyapıyı kullandığını hızla doğruladı.
Bu davalardan ikisi, bilgisayar korsanlarının başarıyla tehlikeye attığı devlet katılımı olan Rus şirketleri ile ilgilidir.
İlk durumda, tehdit aktörleri on ay boyunca 20 sunucuya erişimini sürdürerek 1.500'den fazla belge, çalışan detayları ve diğer hassas verileri çaldı.
İkinci durumda, Çinli hackerlar bir yıldan uzun bir süredir uzlaşmış şirket ağında kaldı, gizli bilgileri sifonladı ve kötü amaçlı yazılımlarını üç ayrı bölgedeki 12 kurumsal ağ düğümüne kurdu.
Uzay Korsanları Arsenal, tuzak belgelerinin arkasına saklanan özel yükleyicilerden, yıllardır var olan hafifçe değiştirilmiş arka kapılardan, Çin ticari marka kötü amaçlı yazılım plugx ve Pcshare arka kapısının uyarlanmış dönüşlerinden oluşur.
Dahası, Space Pirates'in saldırıları da saldırılarda ShadowPad, Zupdax, Zehir ve Revbshell'i kullandı.
Yukarıdakilere ek olarak, yeni keşfedilen APT, daha önce belgelenmemiş üç modüler kötü amaçlı yazılım aracı, yani Rat, BH_A006 ve MyKloadClient kullanır.
MyKloadClient, McAfee Inc tarafından imzalanan bir yardımcı başlatıcı kütüphanesi ile DLL yan yükleme ile birlikte SFX arşivleri kullanan bir yükleyicidir. Launcher, tehdit aktörlerine enfeksiyon üzerinde yakın kontrol sağlayan komutları destekler.
BH_A006, GH0ST Backdoor'un çok değiştirilmiş bir versiyonudur ve güvenlik korumalarını ve engelleme analizini atlamak için birçok gizleme katmanına sahiptir.
Özellikleri arasında ağ hizmeti oluşturma, UAC baypas ve bellekte ambalajdan çıkarma ve başlatma arasında kabuk kodu bulunur.
Bir başka ilginç özel araç, kontrolü kabuk koduna aktarmak için alışılmadık, akıllı bir yöntem içeren tapu sıçanıdır.
Tapu Rat'ın işlevleri hangi eklentilerin getirildiğine ve yüklendiğine bağlıdır. Örneğin, PT başlangıç, C2 yapılandırma, kurulum, işlemlere kod enjeksiyonu, ağ etkileşimleri, bağlantı yönetimi, kayıt defteri düzenleme, kayıt defteri izleme ve proxy koklama için sekiz eklenti gördü.
C2 iletişimi için desteklenen protokoller arasında TCP, TLS, HTTP, HTTPS, UDP ve DNS bulunur, bu nedenle genellikle yüksek düzeyde çok yönlülük vardır.
Deed Rat tarafından desteklenen komutlar şunlardır:
Tehdit analistleri, çeşitli Çin APT'leri arasındaki örtüşmelerin, bölgedeki bilgisayar korsanları için ortak bir fenomen olan araç değişimlerinden kaynaklandığına inanıyor.
Paylaşılan araçları kullanmak, farklı tehdit gruplarının izlerini daha da gizler ve analistlerin çalışmalarını çok daha zor hale getirir, böylece Çin aptlerinin bu uygulamayı takip etmek için birden fazla nedeni vardır.
Space Pirates ayrıca bazı Çinli firmalara finansal kazançlar için özel kötü amaçlı yazılımlarını kullandığını gördü, bu nedenle tehdit grubunun ikili bir işlevi olabilir.
Çinli bilgisayar korsanları, SecureWorks ve Google'daki analistlerin son bulgularıyla teyit edildiği gibi, son zamanlarda Rus hedeflerine karşı çok agresifti.
Casusluk Çin APT'leri için standart bir operasyondur ve Rusya, havacılık, silah, elektrik mühendisliği, gemi inşa ve nükleer teknolojide mükemmel olan geçerli bir hedeftir.
Google: Çin devlet hackerları Rus govt ajanslarını hedef almaya devam ediyor
Çin devlet destekli bilgisayar korsanları artık Rus devlet memurlarını hedef
ABD ve müttefikler, kritik altyapıya yönelik Rus hackleme tehdidini uyarıyor
Kızgın It Yönetici İşveren veritabanlarını siliyor, 7 yıl hapis cezası alıyor
Mühendislik firması Parker, fidye yazılımı saldırısından sonra veri ihlalini açıklıyor
Kaynak: Bleeping Computer