Araştırmacılar Grayling APT'nin Sektörler Genelinde Devam Eden Saldırı Kampanyasını Ortaya Çıkardı - Dünyadan Güncel Teknoloji Haberleri

Araştırmacılar Grayling APT'nin Sektörler Genelinde Devam Eden Saldırı Kampanyasını Ortaya Çıkardı - Dünyadan Güncel Teknoloji Haberleri
söz konusu The Hacker News ile paylaşılan bir raporda SbieDll_Hook Mimikatz gibi diğer araçların yanı sıra Cobalt Strike, NetSpy ve Havoc çerçevesi dahil olmak üzere çeşitli yükleri yüklemek için

DLL yandan yükleme bir popüler teknik çeşitli tehdit aktörleri tarafından güvenlik çözümlerini aşmak ve Windows işletim sistemini hedef uç noktada kötü amaçlı kod çalıştırması için kandırmak için kullanılır

Şirket, “Bu etkinlik, Grayling’in yükleri dağıtmak için özel bir şifre çözücü kullanan farklı bir DLL yandan yükleme tekniğini kullanması nedeniyle öne çıktı” dedi Kanıtlar, kampanyanın Şubat 2023’te başladığını ve en az Mayıs 2023’e kadar devam ettiğini gösteriyor Grayling’in ayrıca proseslist ”

Kurban ortamlarına ilk tutunmanın, halka açık altyapının kullanılması ve ardından kalıcı erişim için web kabuklarının konuşlandırılmasıyla sağlandığı söyleniyor txt adlı dosyada listelenen tüm işlemleri öldürdüğü de gözlemlendi

Bu genellikle başarılı bir uygulamanın kullandığı meşru DLL ile aynı adı taşıyan kötü amaçlı bir DLL’yi, gerçek DLL’den önce yükleneceği bir konuma yerleştirerek DLL arama sırası mekanizması

Şirket, “Tayvanlı kuruluşların yoğun şekilde hedef alınması, bunların Tayvan’da stratejik çıkarları olan bir bölgeden faaliyet göstermelerinin muhtemel olduğunu gösteriyor” diye ekledi

Faaliyetin bir parçası olarak Pasifik Adaları’nda bulunan bir devlet kurumunun yanı sıra Vietnam ve ABD’deki kuruluşların da hedef alınması muhtemeldir

Kamuya açık araçların kullanımı, ilişkilendirme çabalarını karmaşıklaştırmaya yönelik bir girişim olarak görülürken, sürecin sonlandırılması, uzun süreler boyunca radar altında kalmak için tespitten kaçınmanın bir öncelik olduğunu gösteriyor “Bu aktiviteyi yönlendiren motivasyon istihbarat toplama gibi görünüyor

SbieDll_Hook ve SandboxieBITS

Saldırı zincirleri daha sonra DLL yan yüklemesinden yararlanır ” dedi

Düşmanın bugüne kadar herhangi bir şekilde veri sızıntısı yaptığına dair hiçbir kanıt yok; bu da amaçların daha çok keşif ve istihbarat toplamaya yönelik olduğunu gösteriyor


10 Ekim 2023Haber odasıSiber Saldırı / Kötü Amaçlı Yazılım

Kaynağı bilinmeyen, daha önce belgelenmemiş bir tehdit aktörünün, Tayvan’daki imalat, BT ve biyomedikal sektörlerindeki kuruluşları hedef alan bir dizi saldırıyla bağlantısı olduğu belirlendi exe ile ilgili DLL yan yüklemesinin kullanımının daha önce Güneydoğu Asya’daki askeri kuruluşları hedef alan saldırılarda Naikon APT vakasında gözlemlendiğini belirtmekte fayda var



siber-2

Grileşme

Symantec, “Saldırganlar, kurbanların bilgisayarlarına ilk erişim sağladıktan sonra ayrıcalıkları artırmak, ağ taraması ve indiricileri kullanmak da dahil olmak üzere çeşitli eylemler gerçekleştiriyor

Symantec, The Hacker News’e Grayling ve Naikon arasında herhangi bir örtüşme bulamadığını söyledi ancak “DLL yandan yüklemenin bugünlerde APT aktörleri için, özellikle de Çin dışında faaliyet gösteren aktörler arasında oldukça yaygın bir teknik olduğunu” belirtti

Broadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi, saldırıları, adı altında takip ettiği gelişmiş kalıcı tehdide (APT) bağladı