Billbug (A.K.A. Thrip, Lotus Blossom, Spring Dragon) olarak izlenen bir siber boyama tehdidi oyuncusu, Asya'daki birçok ülkede bir sertifika otoritesi, devlet kurumları ve savunma kuruluşlarını hedefleyen bir kampanya yürütüyor.
En son saldırılar en az Mart ayından beri gözlemlendi, ancak aktör on yıldan fazla bir süredir gizli bir şekilde çalışıyor ve Çin için çalışan devlet destekli bir grup olduğuna inanılıyor.
Operasyonları son altı yılda birden fazla siber güvenlik şirketi tarafından belgelenmiştir [1, 2, 3].
Symantec'teki güvenlik araştırmacıları, bugün bir raporda, 2018'den beri izledikleri Billbug'un da HTTPS trafiğini tespit etmeyi veya şifresini çözmeyi zorlaştırmak için imzalı kötü amaçlı yazılımları dağıtmalarına izin verecek bir sertifika otoritesi şirketini hedeflediğini söylüyor.
Symantec, Billbug'un hedef ağlara ilk erişimi nasıl kazandığını belirlememiştir, ancak halka açık uygulamaları bilinen güvenlik açıklarıyla kullanarak bunun olduğuna dair kanıtlar görmüşlerdir.
Billbug'a atfedilen önceki kampanyalarda olduğu gibi, aktör hedef sistemde zaten mevcut olan araçları, halka açık yardımcı programları ve özel kötü amaçlı yazılımları birleştirir. Aralarında:
Bu araçlar, bilgisayar korsanlarının zararsız günlük aktivitelerle karışmasına, şüpheli günlük izlerinden kaçınmasına veya güvenlik araçlarında alarmlar yükseltmesine ve genellikle atıf çabalarını daha da zorlaştırmasına yardımcı olur.
Son Billbug işlemlerinde görülen daha nadiren konuşlandırılmış bir açık kaynak aracı, Pentesters'ın ağ erişim kısıtlamalarını atlamasına yardımcı olan Go tabanlı çok seviyeli bir proxy aracı olan STOWAWAWAWAWAWAWAWAWAWAWAWAWAY'dir.
Symantec, son saldırıları Billbug'a sabitleyebildi çünkü tehdit oyuncusu önceki operasyonlarında görülen iki özel arka kapı kullandı: Hannotog ve Sagerunex.
Hannotog Backdoor'un bazı işlevleri, tüm trafiği etkinleştirmek, tehlikeye atılan makinede kalıcılık oluşturmak, şifreli verileri yüklemek, CMD komutlarını çalıştırmak ve dosyaları cihaza indirmek için güvenlik duvarı ayarlarının değiştirilmesini içerir.
Sagerunex Hannotog tarafından bırakılır ve kendini bir “explorer.exe” sürecine enjekte eder. Daha sonra AES algoritması (256-bit) kullanılarak şifrelenmiş yerel sıcaklık dosyasında günlükler yazar.
Arka kapı konfigürasyonu ve durumu da yerel olarak depolanır ve RC4 ile şifrelenir, her ikisi de kötü amaçlı yazılımlara sert kodlanmıştır.
SagerUNex, aktif vekillerin ve dosyaların bir listesini göndermek için HTTPS aracılığıyla komut ve komut sunucusuna bağlanır ve operatörlerden yük ve kabuk komutları alır. Ayrıca, “runexe” ve “Rundll” kullanarak programları ve DLL'leri yürütebilir.
Billbug, son yıllarda minimum değişikliklerle aynı özel arka kapıları kullanmaya devam ediyor.
Bilgisayar korsanları bir yıl boyunca Hong Kong Govt Ajans Ağı'ndan ödün verdi
ABD Hükümeti: İranlı korsanlar Log4shell istismarını kullanarak federal ajansı ihlal etti
Çin siberlere bağlı yeni Badbazaar Android kötü amaçlı yazılım
Worok Hacker'lar steganografi kullanarak PNG'lerde yeni kötü amaçlı yazılımları saklayın
Nükleer savaş gemisi sırlarını satmaya çalıştığı için hapis cezasına çarptırıldı
Kaynak: Bleeping Computer