APT10 olarak izlenen Çin ağustosböceği hackleme grubu, Lodeinfo kötü amaçlı yazılımlarının Japon kuruluşlarına karşı yeni bir sürümünü yüklemek için güvenlik yazılımını kötüye kullanma gözlemlendi.
Hedeflenen varlıklar medya grupları, diplomatik ajanslar, hükümet ve kamu sektörü kuruluşları ve Japonya'daki düşünce kuruluşlarıdır, tüm siber sorumluluk hedefleri.
Analistleri 2019'dan beri APT10'un Japonya'daki operasyonlarını takip eden Kaspersky'ye göre, tehdit aktörleri enfeksiyon taktiklerini ve özel arka kapıları 'Lodeinfo', tespitleri çok daha zor hale getirmek için sürekli olarak geliştiriyorlar.
Siber güvenlik şirketi, biri yeni APT10'un enfeksiyon zinciri tekniklerini ve ikincisi Lodeinfo'nun evrimine odaklanan iki rapor yayınladı.
Mart 2022'den başlayarak Kaspersky, Japonya'daki APT10 saldırılarının, bir mızrak aktı e-postası, kendi kendini ekleyen (SFX) RAR dosyası da dahil olmak üzere yeni bir enfeksiyon vektörü kullandığını ve güvenlik yazılımında bir DLL yan yükleme kusurunu kötüye kullandığını fark etti.
RAR arşivi, meşru K7Security Suite yazılımı yürütülebilir dosyası, nrtold.exe ve k7sysmn1.dll adlı kötü niyetli bir DLL içerir. Nrtold.exe yürütüldüğünde, normalde yazılım paketine dahil edilen meşru k7sysmn1.dll dosyasını yüklemeye çalışacaktır.
Ancak, yürütülebilir dosyalar belirli bir klasörde DLL'yi aramaz ve böylece kötü amaçlı yazılım geliştiricilerinin k7sysmn1.dll ile aynı adı kullanarak kötü amaçlı bir DLL oluşturmasına izin verir.
Kötü amaçlı DLL, meşru yürütülebilir dosyalarla aynı klasörde saklanırsa, başlatıldığında, yürütülebilir ürün artık LodeInfo kötü amaçlı yazılımları içeren kötü amaçlı DLL'yi yükler.
Kötü amaçlı yazılım meşru bir güvenlik uygulaması kullanılarak yandan yüklendiğinden, diğer güvenlik yazılımı bunu kötü niyetli olarak algılamayabilir.
"K7SYSMN1.DLL, geçmiş faaliyetlerde gözlemlenmemiş bir rutine sahip bir blob içeriyor."
"Gömülü blob dört baytlık parçalara ayrılmıştır ve her parça, DLL ikili'nin rastgele adlandırılmış 50 ihracat fonksiyonundan birinde saklanır."
"Bu dışa aktarma fonksiyonları, tahliyi tahsis edilen bir tamponda yeniden yapılandırır ve daha sonra tek kerelik bir xor tuşunu kullanarak LodeInfo kabuk kodunu çözer."
Arşiv arka planda çıkarılır ve enfeksiyon sürecini başlatırken, kurban, uzlaşmayı gerçekleştirme şansını en aza indirmek için ön planda bir tuzak belgesi görür.
Haziran 2022'de Kaspersky, kötü niyetli VBA kodu taşıyan şifre korumalı bir Microsoft Office belgesi aracılığıyla teslim edilen dosyasız indirici kabuk kodu kullanarak APT10 enfeksiyon zincirinde başka bir varyant fark etti.
Bu kez, DLL yan yükleme yerine, bilgisayar korsanları, kabuk kodunu (Downissa) doğrudan winword.exe işleminin belleğine enjekte etmek ve yüklemek için makro koduna güveniyordu.
Kötü amaçlı yazılım yazarları, 2022'de Lodeinfo'nun altı yeni sürümü yayınladı, en sonuncusu v0.6.7, Eylül 2022'de yayınlandı.
2021'in sonunda, LodeInfo V0.5.6'nın piyasaya sürülmesiyle APT10, rastgele oluşturulan önemsiz verilerle birlikte Vigenere şifre anahtarını kullanarak birden fazla C2 iletişim şifreleme katmanı ekledi.
Ek olarak, LodeInfo V0.5.6, arka kapı tarafından desteklenen 21 komut için XOR Obfusation kullanırken, 0.5.9 sürümünde, API işlev adları için yeni bir karma hesaplama algoritması tanıtıldı.
64 bit platform için destek, 0.6.2 sürümüne eklendi ve esasen kötü amaçlı yazılımın hedefleme kapsamını genişletti. Bu versiyon ayrıca istenmeyen enfeksiyonları önlemek için "en_us" yerel ayarını kullanan makineler için bir muafiyet getirdi.
Haziran 2022'de piyasaya sürülen Lodeinfo V0.6.3'te, kötü amaçlı yazılım yazarları, muhtemelen arka kapıyı daha yalın ve daha verimli hale getirmek için on gereksiz komutu kaldırdı.
Mevcut sürümlerde kalan komutlar:
APT10'un Japonya hedefleme operasyonları, sürekli evrim, hedeflenen platformların genişlemesi, daha iyi kaçaklama ve gizli enfeksiyon zincirleri ile karakterizedir.
Kaspersky, bu raporda analiz edilmeyen Lodeinfo V0.6.6 ve V0.6.7'nin zaten yeni TTP'ler aracılığıyla dağıtıldığını, bu nedenle tehditin sürekli olarak değiştiğini ve analistlerin ve savunucuların devam etmesini çok zorlaştırdığını söylüyor.
APT10 ile bağlantılı yakın zamanda ortaya çıkan diğer operasyonlar, Steganografi kullanan Orta Doğu ve Afrika hükümetlerini hedefleyen bir kampanya ve özel arka fırınları başlatmak için VLC'yi kötüye kullanan bir kampanya içeriyor.
Hacking Group, Windows Logo Resim İçinde Arka Kapı Kötü Yazılım Geridir
Hackerlar, kötü amaçlı yazılımları kontrol etmek için Microsoft IIS Web Server günlüklerini kullanır
Google Play'de bulunan 130k yüklemeli Android kötü amaçlı yazılım damlaları
Microsoft, Raspberry Robin solucanını fidye yazılımı saldırılarına bağlar
Drrinik Android kötü amaçlı yazılım artık 18 Hint bankasının kullanıcılarını hedefliyor
Kaynak: Bleeping Computer