Siber güvenlik şirketi Volexity’nin yeni araştırması, StormBamboo adlı Çince konuşan bir siber casusluk tehdit aktörü tarafından gerçekleştirilen son derece karmaşık bir saldırının ayrıntılarını ortaya çıkardı.
StormBamboo, meşru yazılım güncellemeleri isteyen sistemlerden gelen sorgulara verilen bazı DNS yanıtlarını değiştirmek için bir İSS’nin güvenliğini tehlikeye attı. Birden fazla yazılım satıcısı hedef alındı. Değiştirilen yanıtlar, meşru güncelleme dosyalarına ek olarak StormBamboo tarafından sunulan kötü amaçlı yüklere yol açtı. Yükler hem macOS hem de Microsoft Windows işletim sistemlerini hedef alıyordu.
Kaçışan Panda, Daggerfly veya Bronze Highland olarak da bilinen StormBamboo, en az 2012’den beri aktif olan, Çin’e bağlı bir siber casusluk tehdit aktörüdür. Çince konuşan grup, dünya çapında Çin çıkarlarıyla uyumlu birçok kuruluşu hedef aldı.
Grup yıllar geçtikçe Çin anakarası, Hong Kong, Makao ve Nijerya’daki bireyleri hedef aldı. Ayrıca Güneydoğu Asya, Doğu Asya, ABD, Hindistan ve Avustralya’daki hükümetler de dahil olmak üzere kuruluşları hedef aldı.
Grubun, hedeflerine Microsoft Windows ve macOS işletim sistemleri için geliştirilen özel kötü amaçlı yazılımlar bulaştırmak amacıyla meşru altyapılardan ödün verme konusunda uzun bir geçmişi var. Grup, ziyaretçilerini hedef almak ve onlara kötü amaçlı yazılım bulaştırmak için belirli bir web sitesinin güvenliğini ihlal etmekten oluşan sulama deliği saldırıları gerçekleştirdi.
StormBamboo ayrıca, insanlara gizlice kötü amaçlı yazılım bulaştırmak için bir yazılım platformunun tehlikeye atılması gibi tedarik zinciri saldırıları gerçekleştirme yeteneğine de sahiptir.
Grup aynı zamanda Android kullanıcılarını da hedefleyebiliyor.
Tehdit aktörü, söz konusu ISP’nin DNS sunucularından gelen DNS yanıtlarını kontrol etmek için hedefin ISP altyapısını tehlikeye atmayı başardı.
DNS sunucuları çoğunlukla alan adlarını IP adreslerine çevirerek onları doğru web sitesine yönlendirmekten oluşur. Sunucuyu kontrol eden bir saldırgan, bilgisayarların saldırgan tarafından kontrol edilen bir IP adresinden belirli bir alan adı talep etmesine neden olabilir. StormBamboo’nun yaptığı da tam olarak buydu.
Grubun ISP’yi nasıl tehlikeye attığı bilinmese de Volexity, ISP’nin yeniden başlatıldığını ve ağının çeşitli bileşenlerini çevrimdışına aldığını, bunun da DNS zehirlenmesi operasyonunu anında durdurduğunu bildirdi.
Saldırganın amacı, birkaç farklı yasal uygulama güncelleme web sitesinin DNS yanıtlarını değiştirmekti.
GÖRMEK: Şirketiniz neden DNS güvenlik uzantılarını uygulamayı düşünmelidir?
Volexity’de tehdit araştırmacısı ve yayının yazarı Paul Rascagneres, TechRepublic’e yazılı bir röportajda şirketin tehdit aktörlerinin İSS’yi nasıl seçtiğini tam olarak bilmediğini söyledi.
“Saldırganlar muhtemelen kurbanın İSS’sinin ne olduğunu belirlemek için biraz araştırma veya keşif yapmışlardır” diye yazdı. “Diğer İSS’lerin güvenliğinin ihlal edilip edilmediğini bilmiyoruz; dışarıdan tanımlamak karmaşıktır. StormBamboo agresif bir tehdit aktörüdür. Eğer bu çalışma modu onlar için başarılı olsaydı, bunu diğer ISP’lerde başka hedefler için kullanabilirlerdi.”
Bu saldırıya birden fazla yazılım satıcısı hedef alındı.
Güvenliği ihlal edilen DNS sunucusuna kullanıcılardan gelen bir DNS isteği gönderildiğinde, yazılım için gerçek bir güncelleme sağlayan, saldırgan tarafından kontrol edilen bir IP adresiyle yanıt verildi, ancak yine de saldırganın yüküyle yanıt verildi.
Volexity raporu, güvenli olmayan güncelleme iş akışları kullanan birden fazla yazılım satıcısının endişe duyduğunu gösterdi ve 5KPlayer adlı bir yazılımla örnek verdi.
Yazılım her başlatıldığında “YoutubeDL” güncellemelerini kontrol eder. Kontrol, yeni bir sürümün mevcut olup olmadığını gösteren bir yapılandırma dosyası istenerek yapılır. Eğer öyleyse, belirli bir URL’den indirilir ve meşru uygulama tarafından yürütülür.
Ancak ele geçirilen İSS’nin DNS’si, uygulamayı değiştirilmiş bir yapılandırma dosyasına yönlendirecektir; bu, bir güncelleme olduğunu gösterir ancak arka kapılı bir YoutubeDL paketi sunar.
Kötü amaçlı yük, güncellemeyi talep eden işletim sistemine bağlı olarak MACMA veya POCOSTICK/MGBot kötü amaçlı yazılımını içeren bir PNG dosyasıdır. MACMA MacOS’a bulaşırken, POCOSTICK/MGBot Microsoft Windows işletim sistemlerine bulaşıyor.
MGBot olarak da bilinen POCOSTICK, ESET’e göre başka hiçbir grup tarafından kullanılmadığı için muhtemelen StormBamboo tarafından geliştirilen özel bir kötü amaçlı yazılımdır. Kötü amaçlı yazılım 2012’den beri mevcut ve tuş günlüğü tutma, dosya çalma, panoya müdahale etme, ses akışlarını yakalama, çerez ve kimlik bilgileri hırsızlığını sağlayan çeşitli modüllerden oluşuyor.
Bunun tersine, MACMA keylogging’e, kurban cihazının parmak izinin alınmasına ve ekran ve ses yakalamaya izin verir. Ayrıca saldırgana bir komut satırı sağlar ve dosya hırsızlığı yeteneklerine sahiptir. Google ilk olarak 2021’de, konuşlandırılacak sulama deliği saldırılarını kullanarak MACMA kötü amaçlı yazılımlarının varlığını bildirdi.
Google saldırısı bir tehdit aktörüne atfedilmedi, ancak Google’a göre bir medya kuruluşunun ve önde gelen demokrasi yanlısı işçi ve siyasi grubun Hong Kong web sitelerini ziyaret edenleri hedef aldı. Bu saldırı StormBamboo’nun hedeflemesiyle uyumludur.
Volexity ayrıca en son MACMA sürümü ile StormCloud tehdit aktörü tarafından kullanılan başka bir kötü amaçlı yazılım ailesi olan GIMMICK arasında önemli kod benzerlikleri olduğunu da fark etti.
Son olarak, bir kurbanın macOS cihazının ele geçirilmesinin ardından gerçekleşen bir vakada Volexity, saldırganın kötü amaçlı bir Google Chrome uzantısı dağıttığını gördü. Gizlenmiş kod, saldırganın tarayıcının çerezlerini saldırganın kontrolündeki bir Google Drive hesabına sızdırmasına olanak tanır.
Rascagneres, TechRepublic’e Volexity’nin farklı yazılımlardan hedeflenen birkaç güvenli olmayan güncelleme mekanizması tespit ettiğini söyledi: 5k Player, Quick Heal, Sogou, Rainmeter, Partition Wizard ve Corel.
Yazılım satıcısı düzeyinde güncelleme mekanizmalarının nasıl korunacağı ve geliştirileceği sorusuna araştırmacı, “yazılım editörlerinin HTTPS güncelleme mekanizmasını uygulaması ve güncellemelerin indirildiği web sitesinin SSL sertifikasını kontrol etmesi gerektiği konusunda ısrar ediyor. Ayrıca güncellemeleri imzalamalı ve çalıştırmadan önce bu imzayı kontrol etmelidirler.”
Şirketlerin sistemlerinde StormBamboo etkinliğini tespit etmelerine yardımcı olmak amacıyla Volexity, farklı yükleri tespit etmek için YARA kuralları sağlar ve şirketin sağladığı Tehlike Göstergelerinin engellenmesini önerir.
Açıklama: Trend Micro için çalışıyorum ancak bu makalede ifade edilen görüşler bana aittir.
Kaynak: https://www.techrepublic.com/article/stormbamboo-compromises-isp-malware/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası