Dijital güvenlik şirketi ESET, Çinli bağlantılara sahip yeni bir APT kümesini ve bu küme tarafından kullanılan gelişmiş bir implant olan NSPX30’u ortaya çıkardı. ESET, Çin bağlantılı APT (kalıcı gelişmiş tehdit) grubuna Blackwood adını verdi.
Blackwood, implantı dağıtırken yasal yazılımlardan gelen güncelleme isteklerini engellemek için ortadaki adam tekniklerini kullanıyor. Çin, Japonya ve Birleşik Krallık’tan kişi ve şirketlere karşı siber casusluk operasyonları yürütüyor. NSPX30 implantı Tencent QQ, WPS Office ve Sogou Pinyin gibi meşru yazılımların güncelleme sistemleri aracılığıyla dağıtılır. Araştırma, NSPX30’un gelişiminin izini 2005 yılında kurbanlarından bilgi toplamak için tasarlanan Project Wood adlı küçük bir arka kapıya kadar sürüyor. NSPX30, damlalık, yükleyici, orkestratör ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir implanttır. NSPX30 ayrıca kendisini çeşitli Çin kötü amaçlı yazılımlara karşı koruma çözümleri için izin verilenler listesine ekleme özelliğine de sahiptir. ESET, bu etkinliği Blackwood adlı yeni bir APT kümesine bağladığını duyurdu.
ESET Research, Blackwood’u ve arka kapısı Project Wood’u muteksler adı verilen yinelenen bir temaya dayanarak adlandırdı. Mutex veya karşılıklı dışlama, paylaşılan bir kaynağa erişimi kontrol etmek için kullanılan bir senkronizasyon aracıdır. Kullanılan teknikler göz önüne alındığında, 2005 yılında Project Wood’un yerleştirilmesinin, kötü amaçlı yazılım geliştirme deneyimi olan geliştiricilerin işi olduğu görülmektedir. ESET, Blackwood adlı Çin bağlantılı tehdit aktörünün en az 2018’den beri faaliyet gösterdiğine inanıyor.
ESET telemetrisine göre NSPX30 implantı yakın zamanda az sayıda sistemde tespit edildi. Kurbanlar arasında Çin ve Japonya’daki bilinmeyen kişiler, Birleşik Krallık’taki yüksek profilli bir kamu araştırma üniversitesinin ağına bağlı kimliği belirsiz bir Çinli konuşmacı, Çin merkezli büyük bir imalat ve ticaret şirketi ve Çin’deki bir Japon mühendislik ve imalat şirketi yer alıyordu. . Genel merkez ofisleri bulunmaktadır. ESET ayrıca saldırganların erişimin kesilmesi durumunda sistemleri yeniden ele geçirmeye çalıştığını da gözlemledi.
NSPX30, damlalık, yükleyici, orkestratör ve arka kapı gibi çeşitli bileşenleri içeren çok aşamalı bir implanttır. Her iki bileşenin de Skype, Telegram, Tencent QQ ve WeChat gibi çeşitli uygulamalara yönelik casusluk yeteneklerini uygulayan kendi eklentileri vardır. Ayrıca çeşitli Çin antivirüs testlerinden kaçma yeteneğine de sahiptir. ESET Araştırması, meşru yazılımların (şifrelenmemiş) HTTP protokolünü kullanarak meşru sunuculardan güncellemeleri indirmeye çalıştığında makinelerin güvenliğinin ihlal edildiğini belirledi. Ele geçirilen yazılım güncellemeleri arasında Tencent QQ, Sogou Pinyin ve WPS Office gibi tanınmış Çin yazılımları da yer alıyor. Arka kapının asıl amacı kontrolörle iletişime geçmek ve toplanan bilgileri sızdırmaktır. Ekran görüntüleri alabilir, keylogging yapabilir ve çeşitli bilgiler toplayabilir.
Saldırganların engelleme yeteneği aynı zamanda yeni orkestratör ve arka kapı bileşenlerini indirmek veya toplanan bilgileri sızdırmak için Baidu’ya ait meşru ağlarla iletişim kurarken gerçek altyapılarını anonimleştirmelerine de olanak tanıyor. ESET, NSPX30 tarafından oluşturulan kötü amaçlı ancak görünüşte meşru trafiğin, ortada düşmanca saldırılar da gerçekleştiren bilinmeyen müdahale mekanizması tarafından gerçek saldırganların altyapısına iletildiğine inanmaktadır.
NSPX30 ve Blackwood’u keşfeden ESET araştırmacısı Facundo Muñoz, “Saldırganların NSPX30’u kötü amaçlı güncellemeler olarak nasıl sunabildiklerini tam olarak bilmiyoruz çünkü saldırganların başlangıçta hedeflerini tehlikeye atmasına olanak tanıyan aracı henüz keşfetmedik” dedi. “Ancak Çin’e bağlı tehdit aktörlerinin bu yetenekleri sergilediği deneyimlerimize ve Çin’e bağlı başka bir grup olan MustangPanda’ya atfedilen yönlendirici implantlar üzerine yapılan son araştırmalara dayanarak, saldırganların kurbanların ağlarına, muhtemelen savunmasız ağ cihazlarına sızmaya çalıştıklarına inanıyoruz. Yönlendiriciler veya ağ geçitleri gibi” dedi Muñoz. “Meş implant yerleştirdiğini tahmin ediyoruz” diye açıkladı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
