'Earth Longzhi' olarak adlandırılan daha önce bilinmeyen bir Çin (ileri kalıcı tehdit) hack grubu, Doğu Asya, Güneydoğu Asya ve Ukrayna'daki organizasyonları hedefliyor.
Tehdit aktörleri, kurban sistemlerine kalıcı arka kapılar dikmek için kobalt grev yükleyicilerinin özel versiyonlarını kullanarak en az 2020'den beri aktiftir.
Yeni bir trend mikro raporuna göre, Earth Longzhi, her ikisi de APT41 olarak izlenen devlet destekli hack grubunun alt grupları olarak kabul edilen 'Dünya Bakü' ile benzer TTP'ye (teknikler, taktikler ve prosedürler) sahiptir.
Trend Micro'nun raporu, Dünya Longzhi tarafından yürütülen iki kampanyayı ve ilki Mayıs 2020 ile Şubat 2021 arasında gerçekleşiyor.
Bu süre zarfında, bilgisayar korsanları Tayvan'daki birkaç altyapı şirketine, Çin'de bir banka ve Tayvan'daki bir hükümet organizasyonuna saldırdı.
Bu kampanyada, bilgisayar korsanları, aşağıdaki işlevleri içeren sofistike bir anti tespit sistemine sahip özel kobalt grev yükleyicisini kullandı:
Birincil işlemleri için Earth Longzhi, halka açık çeşitli araçları tek bir paket altında birleştiren hepsi bir arada bir hackleme aracı kullandı.
Bu araç bir SOCKS5 proxy'i açabilir, MS SQL sunucularında şifre taramaları gerçekleştirebilir, Windows Dosya Korumasını devre dışı bırakabilir, dosya zaman damgalarını değiştirebilir, tarama bağlantı noktalarını değiştirebilir, yeni işlemleri başlatabilir, Rid Foofing gerçekleştirebilir, sürücüler oluşturabilir ve 'Sqlexecdirect' ile komutlar yürütebilir.
Trend Micro tarafından gözlemlenen ikinci kampanya, Ağustos 2021'den Haziran 2022'ye kadar sürdü ve Tayland ve Tayvan'daki Filipinler ve Havacılık Firmalarındaki sigorta ve kentsel kalkınma firmalarını hedef aldı.
Bu daha yeni saldırılarda, Earth Longzhi, farklı şifre çözme algoritmaları ve performans (çoklu işleme) ve etkinlik (tuzak belgeleri) için ek özellikler kullanan yeni bir dizi özel kobalt grev yükleyicisi kullandı.
Kobalt grev yükünün enjeksiyon, bellekte çalışan yeni oluşturulan bir işleme enjeksiyon, simatikle aynı kalır, risk almayı önlemek için asla diske dokunmaz.
BigPipeloader'ın bir varyantı, yükleyiciyi (chrome.inf) çalıştırmak ve bellek üzerine kobalt grevini enjekte etmek için Meşru bir uygulamada (wusa.exe) DLL kenar yükleme (WTSAPI32.dll) kullanarak çok farklı bir yük yükleme zinciri takip eder.
Kobalt grevi hedefte çalıştıktan sonra, bilgisayar korsanları kimlik bilgilerini çalmak ve ayrıcalık artışı için 'PrintNighmare' ve 'Printsspoofer' istismarlarını kullanmak için özel bir Mimikatz sürümünü kullanır.
Ana bilgisayardaki güvenlik ürünlerini devre dışı bırakmak için Earth Longzhi, gerekli çekirdek nesnelerini değiştirmek için savunmasız bir sürücüyü (RTCORE64.sys) kötüye kullanan 'Procburner' adlı bir araç kullanır.
Raporda Trend Micro, "Procburner belirli çalışma süreçlerini sonlandırmak için tasarlandı."
"Basitçe söylemek gerekirse, savunmasız RTCORE64.sys kullanarak çekirdek alanındaki erişim iznini zorla yamalayarak hedef sürecin korunmasını değiştirmeye çalışır."
Özellikle, aynı MSI Afterburner sürücüsü, BlackByte Fidye yazılımları tarafından, binden fazla güvenlik korumasını atlamak için kötüye kullanan kendi savunmasız sürücü (BYOVD) saldırılarınızı getirmede de kullanılır.
Çekirdek yamalama işlemi sürüme bağlı olarak değiştikçe Procburner ilk olarak işletim sistemini algılar. Araç aşağıdaki sürümleri destekler:
İkinci bir koruma ihbar aracı olan 'Avburner', savunmasız sürücüyü çekirdek geri arama rutinlerini kaldırarak güvenlik ürünlerini tescil ettirmeye de kötüye kullanıyor.
APT grupları, izlerini gizlemek ve atıfları zorlaştırmak için Cobalt Strike gibi emtia kötü amaçlı yazılımlara ve saldırı çerçevelerine giderek daha fazla güveniyor.
Bununla birlikte, sofistike bilgisayar korsanları hala gizli yük yükleme ve güvenlik yazılımlarını atlamak için özel araçlar geliştirir ve kullanır.
Bu taktikleri takip ederek, Longzhi en az 2,5 yıldır tespit edilmemeyi başardı ve trend mikro tarafından bu maruz kalmayı takiben yeni taktiklere geçecekler.
Bilgisayar korsanları bir yıl boyunca Hong Kong Govt Ajans Ağı'ndan ödün verdi
Hacking Group, Lodeinfo kötü amaçlı yazılımları başlatmak için antivirüs yazılımını kötüye kullanıyor
Hacking Group Polonium, İsrail'e karşı 'ürpertici' kötü amaçlı yazılım kullanıyor
US Govt, 2020'den beri Çinli hackerlar tarafından sömürülen en iyi kusurları paylaşıyor
Bir Çin hackleme grubuna bağlı CheersCrypt Fidye Yazılımı
Kaynak: Bleeping Computer