Çin'in 'Hayatta Kalma' Saldırıları Aptal Kötü Amaçlı Yazılımlarla Hedeflere Dans Ediyor - Dünyadan Güncel Teknoloji Haberleri

Çin'in 'Hayatta Kalma' Saldırıları Aptal Kötü Amaçlı Yazılımlarla Hedeflere Dans Ediyor - Dünyadan Güncel Teknoloji Haberleri



Çin gelişmiş kalıcı tehditlerinin (APT’ler) karmaşık olduğu biliniyor, ancak “ToddyCat” grubu, özel olarak geliştirilmiş, ancak çok basit arka kapılar ve yükleyicilerden oluşan sürekli gelişen bir cephanelik kullanarak Orta ve Güneydoğu Asya’daki telekomünikasyon kuruluşlarını tehlikeye atarak bu eğilimi tersine çeviriyor

“Göreceli olarak temel işlevlere sahipler, ancak saldırganın virüslü makineler hakkında bilgisayar adı, kullanıcı adı, sistem bilgisi, bazı dizinler vb

Shykevich, “Alet ne kadar küçük olursa, tespit edilmesi de o kadar zor olur” diye açıklıyor Erişimlerinin kesin kapsamı ve herhangi bir hasara yol açıp açmadıkları henüz bilinmiyor

“Bizim varsayımımız, kabuk aracılığıyla ek arka kapılar ve modüller uygulayabildikleri yönünde” diye ekliyor, ancak araştırma sonuçta hangi yükleri dağıttıklarını bulmaya kadar uzanmadı gibi temel raporları almasına izin vermek gibi başlangıç ​​hedeflerine ulaşmak için yeterince iyiler “Ancak başka bir düzey, örneğin DLL yan yüklemesini ve kötü amaçlı kabuk etkinliğini tanımlamak için uç nokta algılama ve yanıt (EDR) uç noktalarıdır

ToddyCat ilk olarak geçen yıl keşfedildi, ancak en az 2020’den beri faaliyet gösteriyor

Aptal Kötü Amaçlı Yazılımların Akıllı Kullanımı

İlk başta tembel veya etkisiz gibi görünse de, daha karmaşık, çok işlevli siber savaş silahları yerine bu tür temel araçları kullanmanın arkasında bir mantık var Bu, biraz daha çalışma gerektirecek” diyor Shykevich, “Küçük değişiklikler, bunlardan birini yakalayabileceğiniz anlamına geliyor, ancak diğerlerini yakalamak o kadar kolay olmayacak

En az 2021’den beri aktif olan en son “Hayatta Kalmak” kampanyasının kurbanları arasında Kazakistan, Pakistan, Özbekistan ve Vietnam’dan telekom şirketleri yer alıyor Check Point’e göre daha önce Çin casusluk operasyonlarıyla ilişkilendirilmişti

ToddyCat’in Son Taktikleri

Stayin’ Alive saldırıları, arşiv dosyalarını içeren hedef odaklı kimlik avı e-postalarıyla başlar

Bununla birlikte ToddyCat, her numunenin kolayca tanımlanabilir komuta ve kontrol (C2) altyapısına dayanması nedeniyle başarısızlığa uğradı “Ayrıca, küçük bir alet olduğunda onu bir hedefe göre ayarlamak nispeten kolaydır

Böylesine çevik bir saldırgana karşı savunma yapmak için Shykevich katmanlı bir yaklaşım öneriyor Ancak ToddyCat ile bunu yapmak imkansızdır; kötü amaçlı yazılım örneklerinin her birinin, bilinen kötü amaçlı yazılım aileleriyle, hatta birbirleriyle sıfır fark edilebilir örtüşmesi vardır

İçinde bu hafta yayınlanan bir blog yazısı, Check Point’in araştırmacıları, grubun bugünlerde nasıl çevik kaldığını anlattı: yüklerini düşürmek için kullanabileceği ucuz kötü amaçlı yazılımları dağıtarak ve aynı hızla ortadan kaldırarak Ayrıca şunları da içeriyorlar: Saldırganın istediği herhangi bir komutun yürütülmesine olanak tanıyan bombardıman işlevselliği” diye açıklıyor ”

Ayarlanması daha kolay ve atılması daha ucuz

Check Point’in tehdit istihbaratı grup yöneticisi Sergey Shykevich, bu yükleyicilerin ve indiricilerin üst düzey, devlete bağlı bir tehdit aktöründen beklenecek özelliklere pek yakın olmadığını açıklıyor ”



siber-1

ToddyCat, yükleyicileri ve indiricileri hedeflenen cihazlara bırakmak için bu tür DLL yan yüklemesini (özellikle Çinli tehdit aktörleri arasında popüler bir teknik) kullanıyor Araştırmacılar, çok az kullanımdan sonra bile yeni numuneler için atılma ihtimalinin yüksek olduğunu düşünüyor Tipik olarak araştırmacılar, farklı saldırılar arasındaki ayrıntılara çapraz referans vererek APT’leri belirler ve izler Bir kez çalıştırıldığında, arşiv dosyaları aşağıdaki avantajlardan yararlanacak şekilde tasarlanmıştır: CVE-2022-2374810 üzerinden 7,8 “Yüksek” kritikliğe sahip DLL dışarıdan yükleme güvenlik açığı Dante AV sistemleri yazılımı “Örneğin buradaki ilk katman e-postaydı; kötü amaçlı bir eki tanımlamak için uygun e-posta korumasına sahip olmalısınız” diye savunuyor