APT Grubunun Yeni Siber Casusluk Operasyonunun Ardındaki Yükseltilmiş Araç Seti Ortaya Çıkıyor.
Araştırmamız, Earth Baku’nün Hint-Pasifik bölgesindeki kuruluşlara karşı yürüttüğü siber casusluk operasyonunda kullandığı yeni araç ve tekniklerin ayrıntılı bir analizini sunuyor.
Yazarlar: Hara Hiroaki ve Ted Lee
Geçen yıl, genel olarak APT41 adıyla bilinen kötü şöhrete sahip gelişmiş sürekli tehdit (APT) grubu olan Earth Baku’nun Hint-Pasifik bölgesindeki kuruluşlara karşı yürüttüğü siber casusluk operasyonunun bir parçası olarak ortaya çıkan yeni kötü amaçlı yazılım araçlarını incelemeye başladık. Earth Baku’nun operasyonlarının ardındaki nedenleri henüz tam olarak belirlemesek de bu etkin operasyon hakkında daha fazla araştırmayı teşvik etmek amacıyla analizimizden elde ettiğimiz önemli bulguları paylaşıyoruz.
Earth Baku bu operasyonlarda hava yolu, bilgisayar donanımı, otomotiv, altyapı, yayıncılık, medya ve bilişim sektörlerindeki kuruluşları hedef aldı. Tespitlerimize göre bu kuruluşlar Hint-Pasifik bölgesinde bulunuyor. Şimdiye kadar Hindistan, Endonezya, Malezya, Filipinler, Tayvan ve Vietnam’da etkinlikler kaydettik.
Şekil 1. Earth Baku’nun operasyonlarından zarar gören ülkeler, tamamı Hint-Pasifik bölgesinde
Kaynak: Trend Micro™ Smart Protection Network™ altyapısı
Yeni araçlar
Analizimiz, Earth Baku’nun bu operasyonda daha önce tanımlanamayan kötü amaçlı yazılım parçaları kullandığını gösteriyor: StealthVector ve StealthMutant adını verdiğimiz iki kabuk kod yükleyici ve ScrambleCross adını verdiğimiz bir arka kapı.
Yükleyiciler: StealthVector ve StealthMutant
C/C++ ile yazılmış bir kabuk kodu yükleyicisi olan StealthVector, kötü niyetli aktörlerin kaynak kodunu değiştirmeden kolayca uygulayabilecekleri çeşitli yapılandırılabilir özelliklere sahiptir. Kendisini kaldıracak, yükünü belirli bir konumda çalıştıracak, Windows için Olay İzlemeyi (ETW) devre dışı bırakarak algılamayı önleyecek ve bağlam farkındalığı için kullanıcı adı denetimi gerçekleştirecek şekilde yapılandırılabilir. Yükleyici ChaCha20 yordamı ve sabit bir özel başlangıç sayacı ile şifrelendiğinden StealthVector’ın yapılandırmasının şifresini çözmek zordur.
Şekil 2. StealthVector’ın şifreli yapılandırmasının ve ChaCha20 anahtar bilgilerinin konumları
StealthVector’ın bir C# uygulaması olan StealthMutant, hem kötü niyetli aktörler hem de kırmızı takımlar tarafından yaygın olarak kullanılan bir teknik olan işlem kabartmayı gerçekleştirerek yükünü yürütür. StealthVector gibi, StealthMutant da ET’W’yi devre dışı bırakabilir ve Windows’un yerleşik günlük sistemi tarafından fark edilmeden içeri girebilir. Gözlemlediğimiz StealthMutant örneklerinin çoğu, yüklerinin şifresini çözmek için AES-256-ECB kullanıyor ancak bu yükleyicinin bunun yerine XOR kullanan eski sürümlerini de bulduk.
Şekil 3. Şifre çözmek için AES-256-ECB kullanan bir StealthMutant örneği
Şekil 4. Şifre çözmek için XOR kullanan eski bir StealthMutant sürümü örneği
Yükler: ScrambleCross ve Cobalt Strike işareti
Kabuk kodu tabanlı bir arka kapı olan ScrambleCross, StealthMutant ve StealthVector örneklerinde bulunan iki tür yükten biridir. Diğer yük ise Cobalt Strike işaretidir. ScrambleCross, komut ve denetim (CC) sunucusuna giden ve bu sunucudan gelen arka kapı komutlarını kullanarak eklentilerin alınmasını ve manipüle edilmesini sağlar. CC sunucusundan henüz bir eklenti almadığımız için ScrambleCross’un eklenti manipülasyonu özelliklerinin kapsamını tam olarak tespit edemedik.
Saldırı vektörleri
Bu operasyonlar, bir hedef sisteme girmek ve bu sistemi enfekte etmek için farklı araçlar kullanır:
Sistemin Microsoft SQL Sunucusuna bir SQL komut dosyası ekleyerek kötü amaçlı bir dosya yükleme
Kötü amaçlı bir web kabuğu yüklemek için Microsoft Exchange Server ProxyLogon CVE-2021-26855 güvenlik açığından yararlanma
Kötü amaçlı ekler içeren e-postalar yoluyla olası dağıtım
Planlı bir görevde InstallUtil.exe yükleyici uygulamasının kullanımı
İlişkilendirmelerimiz
Bu operasyonlar, Earth Baku’nun APT41 takma adıyla yürüttüğü daha önceki siber casusluk operasyonlarından birine bağlıdır. Bu eski operasyon Kasım 2018’den beri devam ediyor ve LavagokLdr adını verdiğimiz farklı bir kabuk kodu yükleyicisi kullanıyor ancak bu iki operasyon birçok yönden birbirine benziyor.
Şekil 5. Earth Baku’nun önceki operasyonu ve yeni operasyonunun zaman çizelgesi
Bu yeni operasyonu Earth Baku’ye, diğer operasyonlarla olan kod benzerliklerine dayanarak atfettik:
Her iki operasyonda da install.bat adlı yükleyici komut dosyasını kullanıyor.
Kabuk kod yükleyicileri aynı tür dinamik bağlantı kitaplığına (DLL), Storesyncsvc.dll dosyasına ve API’leri yüklemek için benzer yordamlara sahiptir.
Yükleri, imzaları kontrol etmek ve ana işlevlerini çözmek için benzer işlemleri gerçekleştirir.
Yetenekli aktörler, yükseltilmiş araçlar
StealthMutant, StealthVector ve ScrambleCross analizimiz, Earth Baku’nun son operasyonundan bu yana kötü amaçlı yazılım araçlarını geliştirdiğini gösteriyor. Bu, grubun üyelerinin düşük seviyeli programlama, yazılım geliştirme ve kırmızı ekipler tarafından kullanılan teknikler dahil olmak üzere farklı alanlarda uzmanlaştığını gösteriyor. Earth Baku’nun bu operasyonun ardındaki sebeplerini henüz tespit edememiş olsak da grup bu sofistike yeni araçları kolayca değiştirilebilecek ve hedeflenen bir ağa sızarken daha verimli bir şekilde tespit edilmekten kaçınacak şekilde tasarlamış.
“Earth Baku: Yeni Stealth Yükleyicileri ve Arka Kapılarla Hint-Pasifik Ülkelerini Hedef Alan Bir APT Grubu” adlı araştırmamız, Earth Baku’nun genel olarak operasyonlarına ve özellikle de yeni kötü amaçlı yazılım parçalarının özelliklerine daha fazla ışık tutuyor. Ayrıca kuruluşların ağlarını Earth Baku’nun gerçekleştirdiğine benzer operasyonlara karşı korumalarına yardımcı olabilecek güvenlik önerileri de sunuyor.
Earth Baku Dönüyor
APT Grubunun Yeni Siber Casusluk Operasyonunun Ardındaki Yükseltilmiş Araç Seti Ortaya Çıkıyor Araştırmamız, Earth Baku’nun Hint-Pasifik bölgesindeki kuruluşlara karşı siber casusluk operasyonlarında kullandığı yeni araçlar ve tekniklerin ayrıntılı bir analizini sunuyor.
Yazarlar: Hara Hiroaki ve Ted Lee
Geçen yıl, genel olarak APT41 adıyla bilinen kötü şöhrete sahip gelişmiş sürekli tehdit (APT) grubu olan Earth Baku’nun Hint-Pasifik bölgesindeki kuruluşlara karşı yürüttüğü siber casusluk operasyonunun bir parçası olarak ortaya çıkan yeni kötü amaçlı yazılım araçlarını incelemeye başladık. Earth Baku’nun operasyonlarının ardındaki nedenleri henüz tam olarak belirlemesek de bu etkin operasyon hakkında daha fazla araştırmayı teşvik etmek amacıyla analizimizden elde ettiğimiz önemli bulguları paylaşıyoruz.
Earth Baku bu operasyonlarda hava yolu, bilgisayar donanımı, otomotiv, altyapı, yayıncılık, medya ve bilişim sektörlerindeki kuruluşları hedef aldı. Tespitlerimize göre bu kuruluşlar Hint-Pasifik bölgesinde bulunuyor. Şimdiye kadar Hindistan, Endonezya, Malezya, Filipinler, Tayvan ve Vietnam’da etkinlikler kaydettik.
Şekil 1. Earth Baku’nun operasyonlarından zarar gören ülkeler, tamamı Hint-Pasifik bölgesinde
Kaynak: Trend Micro™ Smart Protection Network™ altyapısı
Yeni araçlar
Analizimiz, Earth Baku’nun bu operasyonda daha önce tanımlanamayan kötü amaçlı yazılım parçaları kullandığını gösteriyor: StealthVector ve StealthMutant adını verdiğimiz iki kabuk kod yükleyici ve ScrambleCross adını verdiğimiz bir arka kapı.
Yükleyiciler: StealthVector ve StealthMutant
C/C++ ile yazılmış bir kabuk kodu yükleyicisi olan StealthVector, kötü niyetli etmenlerin kaynak kodunu değiştirmeden kolayca uygulayabilecekleri çeşitli yapılandırılabilir özelliklere sahip. Kendisini kaldıracak, yükünü belirli bir konumda çalıştıracak, Windows için Olay İzlemeyi (ETW) devre dışı bırakarak algılamayı önleyecek ve bağlam farkındalığı için kullanıcı adı denetimi gerçekleştirecek şekilde yapılandırılabilir. Yükleyici ChaCha20 yordamı ve sabit bir özel başlangıç sayacı ile şifrelendiğinden StealthVector’ın yapılandırmasının şifresini çözmek zordur.
Şekil 2. StealthVector’ın şifreli yapılandırmasının ve ChaCha20 anahtar bilgilerinin konumları
StealthVector’ın bir C# uygulaması olan StealthMutant, hem kötü niyetli aktörler hem de kırmızı takımlar tarafından yaygın olarak kullanılan bir teknik olan işlem kabartmayı gerçekleştirerek yükünü yürütür. StealthVector gibi, StealthMutant da ET’W’yi devre dışı bırakabilir ve Windows’un yerleşik günlük sistemi tarafından fark edilmeden içeri girebilir. Gözlemlediğimiz StealthMutant örneklerinin çoğu, yüklerinin şifresini çözmek için AES-256-ECB kullanıyor ancak bu yükleyicinin bunun yerine XOR kullanan eski sürümlerini de bulduk.
Şekil 3. Şifre çözmek için AES-256-ECB kullanan bir StealthMutant örneği
Şekil 4. Şifre çözmek için XOR kullanan eski bir StealthMutant sürümünün bir örneği
Yükler: ScrambleCross ve Cobalt Strike işareti
Kabuk kodu tabanlı bir arka kapı olan ScrambleCross, StealthMutant ve StealthVector örneklerinde bulunan iki tür yükten biridir. Diğer yük ise Cobalt Strike işaretidir. ScrambleCross, komut ve denetim (CC) sunucusuna giden ve bu sunucudan gelen arka kapı komutlarını kullanarak eklentilerin alınmasını ve manipüle edilmesini sağlar. CC sunucusundan henüz bir eklenti almadığımız için ScrambleCross’un eklenti manipülasyonu özelliklerinin kapsamını tam olarak tespit edemedik.
Saldırı vektörleri
Bu operasyonlar, bir hedef sisteme girmek ve bu sistemi enfekte etmek için farklı araçlar kullanır:
Sistemin Microsoft SQL Sunucusuna bir SQL komut dosyası ekleyerek kötü amaçlı bir dosya yükleme Kötü amaçlı bir web kabuğu yüklemek için Microsoft Exchange Server ProxyLogon CVE-2021-26855 güvenlik açığından yararlanma
Kötü amaçlı ekler içeren e-postalar yoluyla olası dağıtım
Planlı bir görevde InstallUtil.exe yükleyici uygulamasının kullanımı
İlişkilendirmelerimiz
Bu operasyon, Earth Baku’nun APT41 takma adıyla yürüttüğü daha önceki siber casusluk operasyonlarından birine bağlı. Bu eski operasyon Kasım 2018’den beri devam ediyor ve LavagokLdr adını verdiğimiz farklı bir kabuk kodu yükleyicisi kullanıyor ancak bu iki operasyon birçok yönden birbirine benziyor.
Şekil 5. Earth Baku’nun önceki operasyonu ve yeni operasyonunun zaman çizelgesi
Bu yeni operasyonu Earth Baku’ye, diğer operasyonlarla olan kod benzerliklerine dayanarak atfettik:
Her iki operasyonda da install.bat adlı yükleyici komut dosyasını kullanıyor.
Kabuk kod yükleyicileri aynı tür dinamik bağlantı kitaplığına (DLL), Storesyncsvc.dll dosyasına ve API’leri yüklemek için benzer yordamlara sahiptir.
Yükleri, imzaları kontrol etmek ve ana işlevlerini çözmek için benzer işlemleri gerçekleştirir.
Yetenekli aktörler, yükseltilmiş araçlar
StealthMutant, StealthVector ve ScrambleCross analizimiz, Earth Baku’nun son operasyonundan bu yana kötü amaçlı yazılım araçlarını geliştirdiğini gösteriyor. Bu, grubun üyelerinin düşük seviyeli programlama, yazılım geliştirme ve kırmızı ekipler tarafından kullanılan teknikler dahil olmak üzere farklı alanlarda uzmanlaştığını gösteriyor. Earth Baku’nun bu operasyonun ardındaki sebeplerini henüz tespit edememiş olsak da grup bu sofistike yeni araçları kolayca değiştirilebilecek ve hedeflenen bir ağa sızarken daha verimli bir şekilde tespit edilmekten kaçınacak şekilde tasarlamış.
“Earth Baku: Yeni Stealth Yükleyicileri ve Arka Kapılarla Hint-Pasifik Ülkelerini Hedef Alan Bir APT Grubu” adlı araştırmamız, Earth Baku’nun genel olarak operasyonlarına ve özellikle de yeni kötü amaçlı yazılım parçalarının özelliklerine daha fazla ışık tutuyor. Ayrıca kuruluşların ağlarını Earth Baku’nun gerçekleştirdiğine benzer operasyonlara karşı korumalarına yardımcı olabilecek güvenlik önerileri de sunuyor.