Beş yeni APT organizasyonu açıklandı. 2019 "yükselen yıldızlar" dünyası mı?
"2018'de üzgün müsün? Üzgünüm, hala 2019'da yaşamak zorundasın!" İşin ilk gününde Xiao Zhao'nun selamlaması gerçekten çok üzüldü. Bu duygu, boşuna üç gün geçirdiğiniz tavuk çorbası gibidir. 2018'deki o kötü anılar geri dönmüş gibi görünüyor.
2018'de ağ güvenliği alanında gerçekten çok fazla kötü şey var ve bunların en etkileyici olanı APT saldırıları. Yeni keşfedilen APT organizasyonu ve onun eşleşen gizli saldırı yöntemleri, çeşitli siber güvenlik şirketlerine yemin ediyor gibi görünüyor - 2019'da görüşmek üzere!
APT son derece kalıcı tehdit terimi, Google'ın 2010'da Çin'den çekilmesindeki "Aurora Saldırısı" güvenlik olayından kaynaklanmaktadır. Çeşitli ülkelerden güvenlik uzmanları bu tür saldırıları tartışmaya devam ettiler. Bundan sonra APT saldırısı ve savunma savaşı başladı ve bu savaş 10 yıl sürdü. Açıkçası, bu sonsuz bir savaş.
Söylendiği gibi, kendimizi tanımak ve düşmanı tanımak hayatta kalmanın tek yolu. Zorlu 2019 ile yüzleşirken, ilk önce bir önceki yılın APT saldırı ve savunma savaşından öğrenmemiz gerekiyor gibi görünüyor. Bu bağlamda Zerke Channel, geçtiğimiz günlerde Tencent Security tarafından yayınlanan "Tencent Security 2018 Advanced Persistent Threat (APT) Research Report" u yayınladı ve 2018'deki APT saldırısının detaylarını derledi.
En çok ilgili saldırı raporuna sahip birkaç APT organizasyonu (yalnızca raporda net organizasyonel bilgilere sahip olanlar seçilir)
APT saldırıları Doğu Asya ve Güneydoğu Asya'da yoğunlaştı
Çinin uluslararası statüsünün sürekli yükselişiyle birlikte, Çin ile ilgili çeşitli siyasi, ekonomik, askeri, bilimsel ve teknolojik istihbarat koleksiyonları, profesyonel bilgisayar korsanı örgütleri için son derece cazip hale geliyor ve Çin'i, Çin topraklarını hedef alan küresel APT saldırılarının ana kurbanlarından biri yapıyor Saldırılar alışılmadık derecede sıktır. Saldırıya uğrayan alanların dağılımı ile ilgili olarak, ilgili güvenlik raporlarının istatistikleri aşağıdaki gibidir (seçilen raporlar açık saldırı organizasyonları ve hedefleri içerir):
Buradan da anlaşılacağı gibi, saldırı örgütlerinin ve saldırı raporlarının sayısı ne olursa olsun, Doğu Asya ve Güneydoğu Asya dünyanın geri kalanından çok daha ileride ve profesyonel APT kuruluşlarının özel ilgi gösterdiği hassas alanlar. Orta Doğu'daki kaos nedeniyle, Orta Doğu'da nispeten daha fazla APT saldırıları ve organizasyonları var. Avrupa ve Kuzey Amerika elitist olmaya devam ediyor, saldıran çok sayıda örgüt olmamasına rağmen, hepsi güçlü saldırgan örgütler.
Çin'in küreselleşme sürecindeki etkisi artmaya devam ederken ve Çin hükümeti, girişimleri ve sivil toplum kuruluşları dünyadaki ülkelerle bağlantılarını güçlendirmeye devam ederken, Çin çokuluslu APT organizasyonlarının kilit bir hedefi haline geldi. Çin aynı zamanda dünyada APT'nin en ciddi saldırısına uğrayan ülkelerden biri.
Aralık 2018 sonu itibariyle Çin'de hedeflere saldıran en az 7 yerli ve yabancı APT organizasyonu vardı ve hepsi oldukça aktifti. Aşağıdaki tablo, bazı saldırgan organizasyonların ilgili faaliyetlerini listelemektedir:
İstatistiklere göre, 2018'de Liaoning, Beijing ve Guangdong, Çin anakarasında APT'nin en çok saldırıya uğradığı bölgeler oldu ve onu Hunan, Sichuan, Yunnan, Jiangsu, Şangay, Zhejiang, Fujian ve diğer yerler (Hong Kong, Makao ve Tayvan bölgeleri hariç) izledi.
Sanayi dağıtımı açısından, devlet daireleri APT organizasyonunun hala en ilgili hedefleri, ardından enerji, iletişim, havacılık, askeri, nükleer ve diğer altyapılar da önemli hedefler.
Son yıllarda finans, ticaret, bilimsel araştırma kurumları ve medya gibi endüstriler yavaş yavaş bazı APT kuruluşları tarafından hedef alınmaktadır.
Çin'e yönelik 5 önemli saldırı
Çin'e yönelik başlatılan APT saldırılarının en çok olduğu ve kullanılan yöntemlerin daha da çeşitlendiği yukarıdan görülebilir. Burada, Çin'e yönelik 5 büyük APT saldırısını sıraladık ve bunların basit bir analizini yaptık.
1) OceanLotus (OceanLotus, APT32)
OceanLotus APT organizasyonu, Çin ve diğer Doğu Asya ve Güneydoğu Asya ülkeleri (bölgeleri) hükümetlerini, bilimsel araştırma kurumlarını, nakliye şirketlerini ve diğer alanları uzun süredir hedefleyen bir APT organizasyonudur. Bu organizasyon aynı zamanda Çin'i hedef alan en aktif APT organizasyonlarından biridir. Örgüt 2018'de Çin'deki hedeflere defalarca saldırdı.
OceanLotus saldırı organizasyonu, zıpkın saldırılarını ve sulama deliği saldırılarını kullanmakta iyidir.NSA'nın cephaneliği açığa çıktıktan sonra, saldırmak için sonsuz güvenlik açıklarını da kullandı. Ek olarak, teslim edilen birçok saldırı silahı türü vardır. RAT'lar arasında Denis, CobaltStrike, PHOREAL ve salgorea bulunur.
· Beyaz ve siyah saldırı
Beyaz artı siyah saldırılar, bu yıl birçok kez saldırılarında kullanılan OceanLotus grubunun yaygın olarak kullandığı saldırı yöntemlerinden biridir. Beyaz ve siyahın birleşimi dot1xtray.exe + rastls.dll, SoftManager.exe + dbghelp.dll vb. İçerir.
· Komut dosyası saldırısı
Şifreli js oluşturmak için bat kullanın:
Son olarak, CobaltStrike tarafından oluşturulan son beacon.dll Truva atını yüklemek için yükleyici sınıfı çağrılır:
2) DarkHotel (siyah dükkan)
DarkHotel (siyah dükkan), Güney Kore'den olduğu düşünülen bir APT organizasyonudur (bazı araştırma ekipleri bunun Kuzey Kore ile ilgili olduğuna inanmaktadır) Bu organizasyon, son yılların en aktif APT organizasyonlarından biridir. Ana hedefleri elektronik ve iletişim endüstrilerindeki şirketlerdir. İlgili ülke politikacılarına gelince, saldırılarının kapsamı Çin, Kuzey Kore, Japonya, Myanmar, Rusya ve diğer ülkelere yayıldı.
Kuruluşun güçlü bir teknik gücü var ve bu yıl yeni ortaya çıkan CVE-2018-8174 ve CVE-2018-8373 gibi çok sayıda saldırıda 0day kullandı. Örgütün güçlü olduğunu ve hedeflerine ulaşmaktan çekinmediğini gösterir. Örgüt, 2018 yılında bir Çin-Kuzey Koreli ticaret şirketinin yöneticileri ve bir Hong Kong ticaret şirketinin yöneticileri gibi Çin hedeflerine yönelik çeşitli saldırılar da gerçekleştirdi.
Organizasyonun önemli bir özelliği, Truva atlarını macun, openssl, zlib, vb. Gibi açık kaynak kodunda gizlemeyi, az miktarda Truva atı kodunu büyük miktarda açık kaynak kodunda gizlemeyi sevmesidir, böylece tespit edilmekten kaçınma amacına ulaşmak için, "Asalak canavar" olarak.
Not: Aralık 2018'de, çok sayıda kurumun (bazı önemli ulusal kurumların da dahil olduğu) iç sistemleri, bir arayüz yumurtası tasarlamak için açık kaynak kodun kullanılması nedeniyle ciddi rahatsızlıklara neden oldu.Ayrıca, birçok kurumun açık kaynak kodu kullanırken dikkatli bir şekilde kodlama yapmadığını doğruladı. Denetimde, açık kaynak sisteme karışan zararlı kodların fark edilmemesi mümkündür.
Çeşitli saldırılara yanıt olarak, açıklama ayrıntıları aşağıdaki gibidir:
Örneğin, kalıcı saldırılar gerçekleştirmek ve görüntü dosyasında verilen kabuk kodunu gizlemek için msfte.dll ve msTracer.dll'yi kullanın:
DarkHotel APT organizasyonu tarafından kötü amaçlı kodları gizlemek için kullanılan resimlerden biri
DarkHotel APT organizasyonu tarafından kötü amaçlı kodu gizlemek için kullanılan ikinci resim
Aynı zamanda, eklentiler yayınlayarak ilgili görevleri tamamlayın:
3) Beyaz Fil (Mahagrass, Patchwork)
White Elephant, Güney Asya'dan denizaşırı bir APT organizasyonudur. Organizasyon, esas olarak Çin, Pakistan ve diğer Asya bölgeleri ve ülkelerindeki devlet kurumlarını, bilimsel araştırmaları ve eğitimi hedeflemektedir. Altyapı ve kodun bir kısmı Man Linghua ve Konfüçyüs ile örtüşüyor ve bu kuruluşlar arasında ayrılmaz bir şekilde bağlantılı olduğundan şüpheleniliyor.
Örgüt ayrıca 2018'de Çin'de birden fazla hedefe birden fazla saldırı gerçekleştirdi. Örgüt ayrıca zıpkın saldırıları da kullandı ve sahte belgenin güçlü siyasi sonuçları var:
White Elephant APT organizasyonunun kullandığı yem belgelerinden biri
Baixiang APT organizasyonu yem belgesini kullandı 2
Son olarak piyasaya sürülen Tema, açık kaynaklı Quasar RAT'dir:
4) ACI
Manlinghua APT örgütü, Çin, Pakistan ve diğer ülkelere karşı uzun vadeli saldırı faaliyetleri olan bir APT örgütüdür. Örgüt esas olarak hükümete, askeri sanayiye, elektrik enerjisine, nükleer ve diğer birimlere saldırır, hassas bilgileri çalar ve güçlü bir siyasi geçmişe sahiptir.
Örgüt 2018'de Çin'de birden fazla hedefe yönelik saldırılar başlattı. Kuruluş, kelime simgeleri olarak gizlenmiş kendi kendine açılan dosyaları sunmak için esas olarak hedefli kimlik avı saldırılarını kullanır:
Çalıştırdıktan sonra, kötü amaçlı dosyanın yürütülmesine ek olarak, kullanıcının kafasını karıştırmak ve kullanıcının, açılan dosyanın bir doc belgesi olduğunu düşünmesini sağlamak için bir belge açılacaktır. Sahte belgenin içeriği son derece çekici:
Son olarak, veri hırsızlığını tamamlamak için keylogger'lar, yükleme dosyaları ve uzaktan kumanda gibi eklentiler verilecektir.
Aynı zamanda, korelasyon analizi yoluyla, örgütün Baixiang ve Konfüçyüs gibi örgütlerle ayrılmaz bir şekilde bağlantılı olduğundan şüphelenildiğini de gördük. Kuruluşun haritası aşağıdaki gibidir:
5) Qiongqi Safir Mantarı
Qiongqi ve Sapphire mantarlarının Doğu Asya'nın belirli bir bölgesindeki bir saldırı organizasyonundan geldiğinden şüpheleniliyor ve esas olarak Çin anakarasındaki hükümeti, askeri, nükleer endüstri, bilimsel araştırma ve diğer hassas kurumları hedef alıyorlar. İki örgütün kullandığı saldırı cephaneleri kısmen örtüşüyor, bu yüzden uzun süre onları aynı örgüt olarak gördük. Bu nedenle, bu iki örgütün aynı saldırı ekibinin iki grubu olduğunu tahmin ediyoruz.
Safir mantarları, Şangay Uluslararası İthalat Fuarı sırasındaki saldırılar da dahil olmak üzere 2018'de Çin ana karasındaki hedeflere defalarca saldırdı.
Sapphire mantar APT organizasyonunun kullandığı yem belgelerinden biri
Sapphire mantar APT organizasyonu tarafından kullanılan yem belgesinin ikinci kısmı
Son saldırı silahları arasında bfnet uzaktan kumandası, dosyaları çalmak için powershell komut dosyaları vb. Bulunur.
Yeni APT organizasyonunu ortaya çıkaran 2019 saldırı ve savunma savaşının zorluğu yükseltildi.
2018'de, büyük ağ güvenliği satıcıları çeşitli APT saldırılarını açıklamaya devam etti. Bunlar arasında, daha önce hiç görülmemiş bazı yeni APT kuruluşları yavaş yavaş su yüzüne çıktı ve halk tarafından tanındı. Bu APT organizasyonları sırayla Çin'deki hükümete, orduya, enerjiye, bilimsel araştırmaya, ticarete ve finans kurumlarına saldırdı. Hiç şüphe yok ki, bu "yükselen yıldızlar" 2019'da çeşitli ağ güvenliği satıcılarının ana odak noktası olacak.
1) Çıngıraklı Yılan (SideWinder)
SideWinder APT saldırı örgütü, Hindistan'dan geldiğinden şüphelenilen bir saldırı örgütüdür. Ağırlıklı olarak Pakistan gibi Güney Asya ülkelerindeki askeri hedefleri hedef alır. Örgütün saldırıları 2012 yılına kadar izlenebilir.
Bir saldırı aktivitesinin saldırı akış şeması:
Son olarak, ilgili bilgisayar bilgileri toplanacak ve CC sunucusuna gönderilecektir:
2) Beyaz Şirket
Örgüt, Pakistan Hava Kuvvetleri'ne karşı "Shaheen Operasyonu" kod adlı bir APT saldırısı gerçekleştirdi.Operasyon ve organizasyon ilk olarak Kasım 2018'de Cylance tarafından açıklandı.
Kuruluş, son derece güçlü teknik yeteneklere ve farklı hedef ortamlara göre herhangi bir zamanda özelleştirilmiş araçlar geliştirebilen eksiksiz bir saldırı silahı kullanım platformuna sahiptir.
Bu kuruluş tarafından kullanılan kötü amaçlı kod, Sophos, ESET, Kaspersky, BitDefender, Avira, Avast, AVG ve Quickheal dahil olmak üzere çoğu ana akım antivirüs yazılımı tarafından tespit edilmekten kurtulabilir. Ek olarak, bu casusluk kampanyasında kullanılan kötü amaçlı yazılım, son yük için son derece etkili koruma sağlayan en az beş farklı paketleme tekniği uyguladı.
3) Rüzgar Kaydırma
WindShift organizasyonu, Orta Doğu'daki devlet daireleri ve kritik altyapı departmanlarındaki belirli personele saldıran bir APT organizasyonudur.Kuruluş, macOS hedeflerine uzaktan bulaşmak için özel bir URL Şeması kullanabilir. Organizasyon ilk olarak Dark Matter LLC'den bir güvenlik araştırmacısı tarafından Ağustos 2018'de Singapur'daki HITB GSEC toplantısında açıklandı.
Örgütün saldırılarının hedeflerinin tamamı Suudi Arabistan, Kuveyt, BAE, Katar, Bahreyn ve Umman gibi Körfez İşbirliği Konseyi (KİK) bölgesinde bulunuyor. Bu hedeflere, bilgisayar korsanları tarafından çalıştırılan web sitelerine bağlantılar içeren e-postalar gönderildi. Hedef bağlantıya tıkladığında ve kurban etkileşime girdiğinde, WindTale ve WindTape olarak bilinen kötü amaçlı yazılımları indirir ve bulaştırır.
4) Gallmaker
Gallmaker organizasyonu, Doğu Avrupa ülkelerinin hükümetlerini, askeri, savunma kurumlarını ve denizaşırı büyükelçiliklerini hedefleyen bir APT organizasyonudur. Organizasyon en az Aralık 2017'den beri faaliyet göstermektedir. En son etkinlik Haziran 2018'de gerçekleşti. Organizasyon, Ekim 2018'de Symantec tarafından ifşa edildi.
Bu organizasyonun en büyük özelliği, saldırmak için açık araçların kullanılması, böylece kimliğini gizlemesidir.
Saldırı faaliyeti gibi:
Saldırı başarılı olduktan sonra, aşağıdaki genel saldırı araçlarını kullanacaklar:
WindowsRoamingToolsTask: PowerShell betiklerini ve görevlerini planlamak için kullanılır
Metasploit "reverse_tcp": PowerShell aracılığıyla ters kabuğu indirin
WinZip konsolunun yasal sürümü: Komutları yürütmek ve CC ile iletişim kurmak için bir görev oluşturun, ayrıca verileri arşivlemek veya yeni verileri filtrelemek için de kullanılabilir
Rex PowerShell kitaplığı: Metasploit güvenlik açıklarıyla çalışabilmeleri için PowerShell betikleri oluşturmaya ve değiştirmeye yardımcı olan github'da açık kaynaklı bir kitaplık
5) Takım Bağış Yapın
Donot Ekibi, Pakistan'ı ve diğer Güney Asya ülkelerini hedefleyen bir APT kuruluşudur. Organizasyon ilk olarak Mart 2018'de NetScout'un ASERT ekibi tarafından açıklanmıştır.
Kuruluş, saldırmak için mızrak saldırıları kullanıyor ve kuruluş, en az sürüm 4.0'a güncellenen, olgunlaşmış kötü amaçlı kod çerçeveleri EHDevel ve yty'ye sahip:
6) Gorgon Grubu
Gorgon Grubu, Pakistan'dan olduğuna inanılan bir saldırı grubudur. Organizasyon, Ağustos ayında Palo Alto'nun Unit42 ekibi tarafından açıklandı. Diğer kuruluşlardan farklı olarak, bu örgütün en yaygın saldırıları, dünyanın dört bir yanındaki dış ticaret profesyonellerine yönelik saldırılardır.Kuruluş ayrıca Birleşik Krallık, İspanya, Rusya ve ABD gibi hükümet hedeflerine yönelik saldırılar da tespit etmiştir.
Ağ benzeri dış ticaret hedefini hedefleyen ana dosya adları şunları içerir:
SWIFT {tarih} .doc
SWIFT COPY.doc
SATIN ALMA SİPARİŞİ {rastgele sayı} .doc
DHL_RECEIPT {rastgele sayı} .doc
DENİZCİLİK FİŞİ {tarih} .doc
Payment Detail.doc vb.
Kullanılan silah cephaneliği, aşağıdakiler dahil olmak üzere tüm ticari RAT'lardır:
Azorult
NjRAT
RevengeRAT
LokiBot
RemcosRAT
NanoCoreRAT vb.
Hükümete yönelik hedefli saldırılar, esas olarak siyasi açıdan önemli bazı dosya adlarını kullanır.
Pakistan Senatosu.doc'da hile
Pak Army Confidential.doc hakkında Raw Sect Vikram raporu
Afgan Terörist grubu raporu.doc vb.
Söylendiği gibi, 2018'de Çin'e yönelik APT saldırıları sonsuzdur. 2019'da, yerel ağ güvenliği satıcıları yeni APT organizasyonları ve daha gizli APT saldırılarıyla karşı karşıya kalacak. Öyleyse, biz sıradan insanlar olarak APT saldırılarından nasıl olabildiğince kaçınırız?
İşte referans için dört öneri:
1. Tüm büyük kurum ve kuruluşların yanı sıra bireysel kullanıcılar, zamanında yama sistemi yamaları ve önemli yazılım yamaları;
2. Güvenlik bilincini teşvik edin ve bilinmeyen e-postaların eklerini açmayın; belgenin kaynağı güvenilir ve amacı açık değilse, Office makro kodlarını kolayca etkinleştirmeyin.
3. Olası virüs Truva atı saldırılarını önlemek için anti-virüs yazılımı kullanın Kurumsal kullanıcılar için, yerleşik ağ çapında güvenlik açığı onarımı ve virüs savunma işlevlerine sahip bir terminal güvenlik yönetim sistemi kullanın;
4. İlgili APT saldırılarını zamanında tespit etmek ve mümkün olan en kısa sürede önlem almak için gelişmiş tehdit algılama sistemini kullanın.
Makale, Lei Feng.com tarafından düzenlenen "Tencent Security 2018 Gelişmiş Kalıcı Tehditler (APT) Araştırma Raporu" ndan gelmektedir. Lei Feng'in ev konuk kanalı (WeChat genel hesabı: letshome) öncü teknolojiye odaklanıyor ve bilgisayar korsanlarının arkasındaki hikayeyi anlatıyor. Lei Feng'in ev konuk kanalını takip etmeye hoş geldiniz.
