Çinli Hackerlar Güneydoğu Asya’daki Teknoloji Firmalarını Vurdu

BlackBerry Cylance güvenlik araştırmacıları, Güneydoğu Asya’daki teknoloji şirketlerine Çinli tehdit aktörleri tarafından yapılan saldırılarda, açık kaynak kodlu PcShare arka kapısının bir versiyonunun kullanıldığı uyarısında bulunuyor.

Saldırganlar ayrıca, Windows’daki yerleşik Ekran Okuyucusu özelliğinin yerine geçen ve kurbanın kimlik bilgilerini çalmak zorunda kalmadan, virüslü sistemler üzerinde uzaktan kontrol sahibi olan bir trojanlı ekran okuyucu uygulaması kullandı.

Çin kaynaklı bir arka kapı olan PcShare, ek komut ve kontrol (C&C) şifrelemesi ve proxy bypass işlevi ile bu kampanya için özel olarak değiştirildi . Ayrıca, operatörleri kullanılmayan tüm işlevleri koddan çıkarıldı.

Kötü amaçlı yazılım, kurbanın makinesinde DLL yüklenmesi ile yürütülür. Spesifik olarak, arka kapı, güvenlik araştırmacılarının keşfettiği meşru NVIDIA Smart Maximize Helper Host uygulaması (NVIDIA GPU grafik sürücülerinin bir parçası) tarafından  yüklenmiştir.

Çoğu Çin programlama portallarında kamuya açık kodlara dayalı olarak çeşitli sömürü sonrası araçlar dağıtılır. Bunlardan biri, Ekran Okuyucusu’nu yürütülebilir hale getirmek için Sistem düzeyinde erişim elde etmek için Microsoft Erişilebilirlik Özelliklerinden yararlanan bir Truva atıdır.

Tehdit oyuncusu birden fazla kuruluşa yapılan saldırılar arasında aynı PcShare yükünü kullanırken, C&C IP adresleri ve mağdur tanımlayıcıları da dahil olmak üzere yapılandırma ayrıntılarını güncellemek için genellikle hedef başına  yüklenen DLL’yi değiştirdiler.

Tehdit aktörü tarafından kullanılan sahte Ekran Okuyucusu uygulaması, yasal uygulamayı değiştirmeye çalışmaz, ancak Ekran Okuyucusu kullanıcı arabirimini çoğaltmak için uygulamanın bir kopyasını oluşturur. Truva atı uygulaması, saldırganların sistemde yönetim ayrıcalıkları kazanmayı başarması ve makineye SYSTEM düzeyinde erişim sağlamasının ardından teslim edilir.

Araştırmacılar, sahte Ekran Okuyucusu  uygulamasının ilk olarak dört yıl önce ortaya çıktığını , ancak tehdit aktörünün kurbanların ortamlarına uyduğundan emin olmak için uygulamayı değiştirmeye devam ettiğini söylüyorlar. Araç yalnızca çok sınırlı sayıda saldırıda kullanılmış gibi görünüyor.

 

About The Author

Reply