'APT41' veya 'Wicked Spider' olarak da bilinen Çin Winnti Hacking Grubu, geçen yıl en az 80 kuruluşu hedef aldı ve en az on üç ağları başarıyla ihlal etti.
Bu, Wintti'nin faaliyetlerini takip eden ve 2021'i Çinli bilgisayar korsanları için en "yoğun" yıllardan biri olarak tanımlayan Grup-IB'nin araştırmacılarına göre.
Araştırmacılar, Wintti'nin ABD'deki misafirperverlik ve yazılım geliştirme firmalarını, Hindistan'da bir havacılık firması, hükümet, imalat ve Tayvan'daki medya kuruluşlarını ve hatta Çin'deki yazılım satıcılarını hedeflediğini söylüyor.
Kampanyalarını kolaylaştırmak için Winnti ayrıca İngiltere, İrlanda ve Hong Kong, Tayland askeri portalları ve Hindistan hükümetine ait çeşitli sitelerdeki üniversite web sitelerini tehlikeye attı.
Bu kampanyaların bir parçası olarak Winnti, kimlik avı, sulama delikleri, tedarik zinciri saldırıları ve çok sayıda SQL enjeksiyonu dahil olmak üzere kötü amaçlı operasyonlarında çeşitli yöntemler kullandı.
Hedeflenen ağlarda güvenlik açıkları bulmak veya bunlara yanal olarak yayılmış, tehdit aktörleri Acunetix, NMAP, SQLMAP, OneForall, Subdomain3, Subdomainsbrute, Sublist3R ve "Saygı" Kobalt Strike gibi bir emtia ve özel yazılım karışımı kullandılar.
Wintti'nin kobalt grev işaretleri için benzersiz dağıtım yöntemlerinden biri, yazılımla algılamadan kaçınmak için ana bilgisayardaki yükü gizlemeyi içeriyordu.
Grup-IB raporuna göre, bilgisayar korsanları Base64'teki yükü kodlar ve daha sonra aşağıda gösterildiği gibi dns.txt adlı bir metin dosyasına yankılanan 775 karakterden oluşan çok sayıda daha küçük parçaya ayırır.
Bazı durumlarda, yükü bir dosyaya yazmak için bu eylemin 154 tekrarını aldı, ancak diğerlerinde Winnti yinelemeleri azaltmak için yığın boyutunu 1.024 karaktere yükseltti.
Kobalt Strike yürütülebilir dosyasını yeniden inşa etmek ve onu başlatmak için, tehdit aktörleri aşağıda belirtildiği gibi Cerutil Lolbin'i kullanacaklardır:
Winnti tarafından Cobalt Strike dağıtımıyla ilgili bir başka benzersiz yaklaşım, Microsoft, Facebook ve Cloudflare'yi taklit eden 106'dan fazla özel SSL sertifikası olan dinleyicileri kullanmaktır.
Bu sertifikalar, C2 sunucularındaki dinleyicilerin yalnızca ekilen fenerlerden bağlantıları kabul etmesini, meraklı araştırmacıları veya dışarıdaki meraklı bilgisayar korsanlarını kilitlemesini sağlar.
Tehdit grubunun faaliyetini bu kadar uzun süre izleyen Grup-IB, bilgisayar korsanlarının çalışma saatlerine göre yaklaşık konumunu tanımlanmış bir programı takip etme eğiliminde olan bir konumdadır.
Grup sabah 09: 00'da çalışmaya başlar ve öğleden sonra 07: 00'de UTC+8 saat diliminde tamamlanır.
Bu, hack grubunu Malezya, Singapur, Rusya, Avustralya ve Çin'deki hedeflere karşı gerçek zamanlı operasyonlar için iyi bir konuma getiriyor.
Özellikle, Winnti hafta sonları çok az saat kaydetti, ancak Pazar günleri bazı etkinlikler gözlemlendi, muhtemelen yetersiz BT ekipleri tarafından fark edilmesi muhtemel olmayan eylemler gerçekleştirdi.
Araştırmacılar Winnti operasyonlarını ısrarla izlerken bile, sofistike Çin grubu iyi gizli kalır ve siber boyama operasyonlarını engellemez.
Bununla birlikte, Grup-Ib'in raporu, Hacking Group'un taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) özetleyerek ve Winnti'nin zor kalmayı başardığını doğrulayarak boşlukların doldurulmasına yardımcı olur.
Ocak 2022'de Kaspersky'deki araştırmacılar, Winnti tarafından yüksek profilli organizasyonlara karşı Wilnti tarafından konuşlandırılan gelişmiş bir UEFI ürün yazılımı implantı olan 'Moonbounce'u keşfetti.
Mart 2022'de Mantiant, Winnti'nin Cisco ve Citrix istismarlarını kullanarak altı ABD eyaletindeki hükümet ağlarını ihlal ettiğini bildirdi.
Mayıs 2022'de, Cyberseason'ın bir raporu, en az 2019'dan beri devam eden daha önce bilinmeyen bir operasyonu haritaladıktan sonra Winnti'nin Arsenal ve TTP'leri (teknikler, taktikler ve prosedürler) hakkında çok şey ortaya çıkardı.
Belçika, Çinli hackerların Savunma Bakanlığına saldırdığını söylüyor
Çinli hackerlar info-stealer truva atı ile senaryo çocuklarını hedef
Rus hackerlar Ukrayna'yı Varsayılan Kelime Şablon Halvan ile Hedef
9.000'den fazla VNC sunucusu şifre olmadan çevrimiçi olarak maruz kaldı
Çinli hackerlar yeni Linux, macOS kötü amaçlı yazılım ile backdoor sohbet uygulaması
Kaynak: Bleeping Computer