Çin bağlantılı bir siber casusluk grubunun Orta Asya’daki telekomünikasyon sektörüne ShadowPad ve PlugX gibi kötü amaçlı yazılım sürümleriyle saldırdığı gözlemlendi.
Siber güvenlik firması SentinelOne, izinsiz girişleri, kolektif ile Nomad Panda (aka RedFoxtrot) olarak adlandırılan başka bir tehdit grubu arasındaki taktiksel örtüşmelerle “Moshen Dragon” adı altında izlediği bir aktöre bağladı.
SentinelOne’dan Joey Chen, “PlugX ve ShadowPad, Çince konuşan tehdit aktörleri arasında öncelikle casusluk faaliyeti için köklü bir kullanım geçmişine sahip.” dedim. “Bu araçlar esnek, modüler işlevselliğe sahiptir ve geleneksel uç nokta koruma ürünlerini kolayca atlamak için kabuk kodu aracılığıyla derlenir.”
“Çin casusluğunda özel olarak satılan kötü amaçlı yazılımın şaheseri” olarak etiketlenen ShadowPad, PlugX’in varyantları sürekli olarak Çinli tehdit aktörleriyle ilişkili farklı kampanyaların bir parçası olarak ortaya çıkmasına rağmen, 2015 yılında PlugX’in halefi olarak ortaya çıktı.
En az 2017’den beri Bronze Atlas (diğer adıyla APT41, Barium veya Winnti) adlı hükümet destekli bilgisayar korsanlığı grubu tarafından konuşlandırıldığı bilinmesine rağmen, giderek artan sayıda Çin bağlantılı diğer tehdit aktörleri mücadeleye katıldı.
Bu yılın başlarında Secureworks, Çin Devlet Güvenlik Bakanlığı (MSS) sivil istihbarat teşkilatı ve Halk Kurtuluş Ordusu (PLA) ile uyumlu çalışan Çin ulus-devlet gruplarına farklı ShadowPad faaliyet kümeleri atfetti.
SentinelOne’dan elde edilen en son bulgular, Mart ayı sonlarında Trellix’in, Güney Asya’daki telekom ve savunma sektörlerini hedefleyen yeni bir PlugX kötü amaçlı yazılım çeşidiyle RedFoxtrot saldırı kampanyasını ortaya çıkaran önceki bir raporuyla örtüşüyor. tılsım.
Moshen Dragon’un TTP’leri, ShadowPad ve Talisman’ı güvenliği ihlal edilmiş sistemlere yandan yüklemek için BitDefender, Kaspersky, McAfee, Symantec ve Trend Micro’ya ait meşru antivirüs yazılımının kötüye kullanımını içerir. DLL arama emri kaçırma.
Sonraki adımda, ele geçirilen DLL, yürütülebilir antivirüs programıyla aynı klasörde bulunan son ShadowPad veya PlugX yükünün şifresini çözmek ve yüklemek için kullanılır. Kalıcılık, zamanlanmış bir görev veya hizmet oluşturularak elde edilir.
Güvenlik ürünlerinin ele geçirilmesine rağmen, grup tarafından benimsenen diğer taktikler arasında, kimlik bilgilerinin çalınmasını, yanal hareketi ve veri sızmasını kolaylaştırmak için bilinen bilgisayar korsanlığı araçlarının ve kırmızı ekip komut dosyalarının kullanılması yer alıyor. İlk erişim vektörü henüz belirsizliğini koruyor.
“Saldırganlar bir kuruluşta bir yer edindikten sonra, ağ içinde Impacket’ten yararlanarak, kurban ortamına pasif bir arka kapı yerleştirerek, sınırsız erişim sağlamak için mümkün olduğunca çok kimlik bilgisi toplayarak ve veri hırsızlığına odaklanarak yanal hareketle ilerlerler, “dedi Chen.