Faydalanılan Kaynaklar:
https://malpedia.caad.fkie.fraunhofer.de/actor/apt32
https://attack.mitre.org/groups/G0050/
https://www.mandiant.com/resources/cyber-espionage-apt32
https://www.rewterz.com/rewterz-news/rewterz-threat-alert-apt32-ocean-lotus-active-iocs
https://otx.alienvault.com/pulse/60f7bcf1e4dc34e4372833a4
ANAHTAR KELİMELER
APT (Advanced Persistent Threat (Gelişmiş Kalıcı Tehdit): Gelişmiş kalıcı tehdit (APT) kavramı, saldırganın bir ağa erişim kazandığı ve uzun süre boyunca tespit edilemeyen hedefli bir siber saldırıdır. Devlet destekli de olabilen APT grup saldırıları, hedef kuruluşun ağına zarar vermek yada verileri çalmak için başlatılır. Bu sebeple çok daha farklı çözümler, güvenlik araçları ve kurallar oluşturmak ve yönetmek gereklidir.
Scheduled Task: Bir zaman diliminde, düzenli aralıklarla veya tanımlanmış bir olay olduğunda yürütülecek bir program veya komut dosyasıdır. Saldırganlar, zararlı yazılımlarını sisteme bulaştırdıklarında bu tekniği kullanmaktadırlar.
Backdoor: Hedef sistem içerisinde arka kapı oluşturularak, istenen herhangi bir kaynağa bilgi aktarım ve iletişim sağlayan yazılımdır.
Privilege Escalation: Kurban sistem üzerinde saldırgan tarafından tüm izinlere sahip olmak için gerçekleştirilen yetki yükseltme yöntemidir.
Pivoting: Kurban sistem içerisindeki sistemler arasında farklı alanlara veya dosyalara atlama işlemidir.
Ransomware: Fidye yazılımı, bulaştığı sistemdeki verileri ele geçirir ve şifreler. Saldırgan, kurbandan şifre karşılığında fidye ister. Bu yazılım, şirketler için potansiyel boyutta finansal zarar da sağlayabilir.
Phishing: Oltalama saldırısı olarak bilinir. Yani hedefi yanıltma, kandırma saldırılarıdır.
Persistence: Saldırganın sistem içinde erişiminin kesilmesi durumlarında tekrar erişimi sürdürme işlemi yani kalıcılık sağlaması durumudur.
Reconnaissance: Hedef ağ ve sistem hakkında aktif ve pasif yöntemler ile bilgi toplama aşamasıdır.
Resource Development: Hedefe karşı silahlanmak yani ona karşı kullanacağı bilgi birikim ve iletişim altyapılarının oluşturulma aşamasıdır.
İnitial Access: Kurban sistemiyle oluşturulan ilk temas aşamasıdır. Saldırının ilk adımı da denebilir.
Execution: Saldırganlar tarafından kurban sisteme bulaştırılan zararlı yazılımın sistem üzerinde çalıştırılma aşamasıdır.
Defense Evasion: Zararlı yazılımın sistem içerisinde gizlenmesi aşamasıdır. Buradaki amaç tespit edilebilirlik oranını minimum düzeye indirgemektir.
Credential Access: Kurban sistem hakkında login ve password bilgilerinin ele geçirildiği aşamadır.
Discovery: Saldırganın, sistem ve ağ hakkında bilgi edinmek için kullanabileceği tekniklerden oluşur.
Collection: Saldırgan tarafından kurban sistemden verilerin (ses, video, görüntü, klavye girişleri vs.) toplama aşamasıdır.
Command and Control(C2): Saldırganların bir kurban ağı içinde kontrol ettikleri sistemlerle iletişim kurmak için kullanabileceği tekniklerden oluşur. Saldırganlar, tespit edilememek için genellikle sistem üzerindeki normal trafiği taklit etmeye çalışırlar.
Exfiltration: Kurban makine üzerindeki önemli bilgilerin saldırganın belirlediği sunucuya iletilirken tespit edilmemek için belirli teknikleri kullandıkları aşamadır. Burada komuta kontrol sunucusu örnek olarak verilebilir.
Injection-chain: Injection kavramından anlaşılacağı gibi zararlı yazılımın sisteme bulaştığı aşamadır.
IoC: Ana bilgisayar sistemi veya ağ üzerindeki olası izinsiz girişlerin adli bir kanıtı olarak nitelendirilebilir. Bilgi güvenliği uzmanlarının veya sistem yöneticilerinin, saldırganların kurban sistem üzerindeki izinsiz giriş girişimlerini veya diğer zararlı etkinliklerini algılamasını sağlar. Bu veriler IP, hostname, domain veya hash algoritması olabilir.
TTP: Teknik, Taktik ve Prosedür, her saldırgana veya saldırgan grubuna özel olan ve geçmişte uyguladıkları saldırı tipleri, şekilleri, motivasyonları ve aynı zamanda gelecekte yapabilecekleri aktivitelerin bütünüdür.
APT 32 (OceanLotus/Cobalt Kitty/APT-C-00/SeaLotus)
Çeşitli isimleri ile bilinen potansiyel saldırı gruplarından biri olan APT32; özel şirketlere, yabancı hükümetlere, gazetecilere ve aktivistlere yönelik farklılaşmış saldırı etkinlikleri ile bilinmektedir. Grubun bilinen faaliyeti, Vietnam ve Filipinler de dahil olmak üzere Asya kıtasındaki saldırılara yayılmadan önce Çin varlıklarına saldırmaya başladığıdır ve bu 2012 yılına kadar uzanmaktadır. Uluslararası Af Örgütü’nün yeni bir soruşturması, Şubat 2018’den Kasım 2020’ye kadar Vietnamlı insan hakları savunucularını (HRD’ler) hedef alan bir casus yazılım saldırısı kampanyası da tespit edilmiştir.
Motivasyonları Nelerdir?
OceanLotus’un medya, araştırma ve inşaat dahil olmak üzere Vietnam’ da çalışan yabancı kuruluşları hedef aldığı bilinmektedir. Bu noktada motivasyonları tam olarak anlaşılamasa da en temel amaçları Vietnam’a ait şirketlere yardım etmek için casusluk çalışmaları olduğu düşünülmektedir.
Örnek Siber Saldırıları
1-) Haber Değeri taşıyan Web Siteleri
OceanLotus grubu olarak bilinen APT32, güvenliği ihlal edilmiş gibi görünen Vietnamca haber web siteleri oluşturmaktadır. Buradaki amaç, site ziyaretçileri hakkında bilgi toplamak ve bazı durumlarda kötü amaçlı yazılımları site ziyaretleri aracılığı ile geniş kitlelere dağıtmaktır.
Sitedeki makaleler, kötü amaçlı içerik içerir. Ayrıca oluşturdukları bazı siteler Vietnam haberlerine odaklanırken diğerleri başka Güneydoğu Asya ülkeleri temalı haberlere odaklanır.
Örnek olarak öncesinde oluşturulmuş ve şuan aktifliği bulunmayan birkaç web sitesi aşağıdaki gibidir:
baodachieu.com
Bu web sitesi genel haberleri kapsar ve dil olarak Vietnamca yazılmıştır. Özel bir logosu ve sloganı vardır.
nhansudaihoi13.org
Bu web sitesi, Ocak 2021’de toplanacak olan 13. Vietnam Komünist Partisi Ulusal Kongresi ile ilgili haberlere binaen oluşturulmuştur. Özel bir logo veya sloganı yoktur.
laostimenews.com
Bu web sitesi genel haberleri kapsamaktadır. İçerik olarak İngilizce ve Laosça olarak yazılmıştır. İçeriğinin çoğunu Laotian Times’ın (laotiantimes.com) web sitesinden alıyor gibi görünmektedir. Özel bir logosu veya sloganı yoktur.
khmerleaks.com
Bu web sitesi özellikle Kamboçya merkezli haberlere odaklanır. Kamboçya ve İngilizce dillerinde içerik sunar. Sloganı ise “Ülkeyle ilgili en sıcak haberlerden haberdar olun.” şeklindedir.
2-) Ziyaretçileri Hedefleme
Oluşturdukları web siteleri gerçekçi görünmek için çok sayıda makale ve blog içerir. Yayınlanan makale ve resimlerdeki imza ve hatta filigranlar doğrudan makalenin nereden alındığını gösterir.
Bu web siteler ile ziyaretçiler iki şekilde hedef alınabilir:
– Web sitesini tesadüfen ziyaret eden kullanıcılar hakkındaki bilgilerin tespiti için kullanılabilecek sayfalarda, profil oluşturma alanları üzerinden hedef alınabilir.
– Hedef odaklı kimlik avı saldırıları ile zararlı yazılım içeren haber içerikli bağlantılar kurbanlara gönderilerek hedef alınabilir.
Örnek olarak kullanıcıların, üzerinde enfeksiyon zinciri içeren sayfayı ziyaret etmesi ile kötü amaçlı JavaScript kodu kurban bilgisayara yüklenmektedir.
Şu an aktif olmasa bile örnek web site görselleri aşağıdaki gibidir:
– Ziyaretçilere kimlik avı bağlantısı göndermek için tasarlanmış sahte “baomoivietnam.com” sitesinden bir kesit örnek olarak verilebilir.
APT 32 Tarafından Kullanılan Zararlı Yazılımlar ve Araçlar Listesi
1-) Arp: Arp, sistemin Adres Çözümleme Protokolü (ARP) önbelleği hakkındaki bilgileri görüntüleme ve değiştirmede kullanılmıştır.
2-) Cobalt Strike: Cobalt Strike kendisini “hedefli saldırılar yürütmek ve gelişmiş tehdit aktörlerinin (APT) sömürü sonrası eylemlerini taklit etmek için tasarlanmış saldırgan simülasyon yazılımı” olarak tanımlayan ticari bir araçtır. Cobalt Strike’ın etkileşimli saldırı sonrası çeşitli yetenekler ile ATT&CK taktiklerini birlikte kapsayan bir sistemdir. Cobalt Strike’nin lisanssız sürümleri, son yıllarda Ocean Lotus dahil olmak üzere farklı saldırgan gruplar tarafından da kullanılmaktadır.
3-) Denis: Denis aracı, bir Windows backdooru ve Truva Atı’dır. Soundbite backdooru ile bazı benzerliklere sahiptir ve Goopy backdooru ile birlikte kullanılmıştır.
4-) Ipconfig: Ipconfig, bir sistemin TCP/IP, DNS, DHCP durumu hakkında bilgi toplamak için kullanılan bir programıdır.
5-) Kerrdown: Kerrdown, kurbanın ağındaki bir sunucuya casus yazılım yüklemek için kullanılan özel bir download yazılımıdır.
6-) Komprogo: Komprogo; işlem, dosya ve kayıt yönetimi yapabilen bir imza backdoorudur.
7-) Mimikatz: Mimikatz, bir işletim sisteminden veya yazılımdan hesap oturum açma ve parola bilgilerini normalde hash veya açık metin parolası biçiminde almak için kullanılan bir yazılımdır. Çalınan kimlik bilgileri daha sonra lateral movement tekniği ile kısıtlı bilgilere erişmek için kullanılabilir.
😎 Net: Net programı, Windows işletim sisteminin bir bileşenidir. Kullanıcıların, grupların, hizmetlerin ve ağ bağlantılarının kontrolü için komut satırı işlemlerinde kullanılır.
9-) Netsh: Netsh, yerel veya uzak sistemlerdeki ağ bileşenleri ile etkileşim kurmak için kullanılan bir programdır.
10-) OSX_OCEANLOTUS.D: OSX_OCEANLOTUS.D, APT32 tarafından kullanılan ve çeşitli varyantları olan bir Mac OS backdoorudur.
11-) Phoreal: PHOREAL, APT32 tarafından kullanılan bir imza backdoorudur.
12-) Soundbite: SOUNDBITE, APT32 tarafından kullanılan bir imza backdoorudur.
13-) Wındshıeld: WINDSHIELD, APT32 tarafından kullanılan özel bir backdoor’dur.
APT 32 Örnek Olabilecek Faaliyet Zinciri
– 2016 yılında ağ güvenliği, teknoloji altyapısı, bankacılık ve medya sektörlerinde çalışan Vietnamlı ve yabancı sermayeli şirketler hedef alınmıştır.
– 2016 yılının ortalarında, FireEye’ın APT32’ye özgü olduğuna inandığı zararlı yazılım, operasyonlarını Vietnam’a genişletmeyi planlayan küresel bir konaklama endüstrisi geliştiricisinin ağlarında tespit edilmiştir.
– 2016’dan 2017’ye kadar, Vietnam’da bulunan ABD ve Filipin tüketici ürünleri şirketlerinin yan kuruluşları APT32 saldırılarının hedefiydi.
– 2015 ve 2016’da, iki Vietnam medya kuruluşuna yönelik FireEye’nin raporunda da belirtildiği gibi malware yazılımlarla hedef alınmıştır.
– Kamboçyalı insan hakları örgütü LICADHO, 2018’de hedef alınmıştır.
Aşağıdaki tabloda ise malware aileleri dahil olmak üzere APT32 grubuna ait aktivitelere yönelik 2017 yılında oluşturulmuş bir tablo görülmektedir.
APT 32 MITRE ATT&CK Teknik ve Taktik Listesi
1.Reconnaissance
Gather Victim Identity Information: APT32, aktivistlere ve blog yazarlarına yönelik çalışmalar yürütmüştür ve casus yazılımlarla kurbanların e-posta adreslerini toplamıştır.
Phishing for Information: APT32, kullanıcıları kimlik bilgilerini toplamak için zararlı bağlantılar içeren web sayfalarına yönlendirmektedir.
T1589.002 Gather Victim Identity Information: Email Addresses
T1598.003 Phishing for Information: Spearphishing Link
2.Resource Development
Acquire Infrastructure: APT32, bilgi toplamak ve zararlı yazılım dağıtmak için web siteleri kurmuştur.
Establish Accounts: APT32, Facebook sayfalarını sahte web siteleriyle birlikte kurmuştur.
Obtain Capabilities: APT32, Mimikatz ve Cobalt Strike gibi araçları ve GitHub’dan çeşitli diğer açık kaynaklı araçları kullanmıştır.
Stage Capabilities: APT32, kurban sistemlerde kullanılmak üzere Dropbox, Amazon S3 ve Google Drive’da payloadlar barındırmıştır. Ayrıca gerçekçi görünmek için internetten alınan ve içerisinde çok sayıda makale barındıran web siteler kurmuştur. Bu sayfalar, kurbanlara zararlı JavaScript kodları bulaştırmaktadır.
T1583.001 Acquire Infrastructure: Domains
T1583.006 Acquire Infrastructure: Web Services
T1585.001 Establish Accounts: Social Media Accounts
T1588.002 Obtain Capabilities: Tool
T1608.004 Stage Capabilities: Drive-by Target
T1608.001 Stage Capabilities: Upload Malware
3.Initial Access
Drive-by Compromise: Kurbanların, güvenliği ihlal edilmiş watering hole web sitelerini ziyaret etmeleri için oltalama tekniği kullanarak virüslerini bulaştırmıştır.
Phishing: Belge veya elektronik tablo görünümünde zararlı ve yürütülebilir dosya içeren hedefe yönelik spearphishing e-postaları göndermiştir.
Valid Accounts: Yasal olan yerel yönetici hesabı kimlik bilgilerini kullanmıştır.
T1189 Drive-by Compromise
T1566.001 Phishing: Spearphishing Attachment
T1566.002 Phishing: Spearphishing Link
T1078.003 Valid Accounts: Local Accounts
4.Execution
Command and Scripting Interpreter: APT32, Cobalt Strike modüllerini indirmek için COM komut dosyaları ve PowerShell tabanlı araçları çalıştırmak cmd.exe’yi kullanmıştır. Ayrıca Makroları, COM komut dizilerini ve VBS komut dosyalarını C2 iletişimleri için JavaScript komutları ile kullanmıştır.
Exploitation for Client Execution: APT32, zararlı kod yürütmek için RTF belgelerini kullanmıştır. (CVE-2017-11882)
Scheduled Task/Job: APT32, kurban sistemlerinde kalıcı olmak için zamanlanmış görevleri kullanmıştır.
Software Deployment Tools: APT32, zararlı yazılımlar üzerinden lateral movement tekniğini uygulamak için McAfee ePO’nun güvenliğini ihlal etmiştir.
System Services: APT32’nin backdoor’u, Windows hizmetlerini zararlı payload yürütme açısından kullanmıştır.
User Execution: APT32, kullanıcıları bir spearphishing yöntemi aracılığıyla gönderilen zararlı bir dropper çalıştırmaya zorlamaktadır. Ayrıca kimlik avı e-postalarına zararlı bir bağlantı ekleyerek kurbanları Cobalt Strike beacon’u indirmeye yönlendirmiştir.
Windows Management Instrumentation: APT32, yerel ve uzak sistemlerle etkileşim kurmak için WMI’yi kullanmıştır ve bunu, keşif için bilgi toplamanın yanı sıra lateral movement tekniğinin bir parçası olarak dosyaların uzaktan yürütülmesi gibi çeşitli davranışları gerçekleştirmek için bir araç olarak kullanmıştır.
T1059.007 Command and Scripting Interpreter: JavaScript
T1059.001 Command and Scripting Interpreter: PowerShell
T1059.005 Command and Scripting Interpreter: Visual Basic
T1059.003 Command and Scripting Interpreter: Windows Command Shell
T1203 Exploitation for Client Execution
T1053.005 Scheduled Task/Job: Scheduled Task
T1072 Software Deployment Tools
T1509.002 System Services: Services Execution
T1204.002 User Execution: Malicious File
T1204.001 User Execution: Malicious Link
T1047 Windows Management Instrumentation
5.Persistence
Boot or Logon Autostart Execution: APT32, hem PowerShell hem de VBS komut dosyalarını ve backdoorları sistem üzerinde doğrudan yürütmek için Kayıt Defteri Çalıştırma anahtarlarını kullanarak kalıcılık sağlamıştır.
Create or Modify System Process: APT32, PowerShell komut dosyalarının sisteme yüklenerek Windows Hizmetlerini değiştirmiştir. Ayrıca kalıcılık sağlamak için bir Windows hizmeti de oluşturmuştur.
Hijack Execution Flow: APT32, işletim sistemlerinin programları çalıştırma yöntemini ele geçirerek kendi payloadlarını yürütmüşlerdir.
Office Application Startup: APT32, kalıcılık sağlamak amacı ile backdoor makrosunu sisteme yüklemek için Microsoft Outlook’un VbaProject.OTM dosyasını değiştirmiştir.
Scheduled Task/Job: APT32, kurban sistemlerinde kalıcı olmak için scheduled task’ları kullanmıştır.
Server Software Component: APT32, kurban web sitelerine erişimi sürdürmek için Web Shells kullanmıştır.
Valid Accounts: APT32, gerçek yerel yönetici hesabı kimlik bilgilerini kullanmıştır.
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder
T1543.003 Create or Modify System Process: Windows Service
T1574.002 Hijack Execution Flow: DLL Side-Loading
T1137 Office Application Startup
T1053.005 Scheduled Task/Job: Scheduled Task
T1505.003 Server Software Component: Web Shell
T1078.003 Valid Accounts: Local Accounts
6.Privilege Escalation
Boot or Logon Autostart Execution: APT32; sistem ayarlarını, sistem bootloaderı, oturum açma sırasında kalıcılığı korumayı veya güvenliği ihlal edilmiş sistemlerde yüksek düzeyde yetkiler elde etmek için programı yürütecek şekilde yapılandırmıştır.
Create or Modify System Process: APT32, kalıcılığın bir parçası olarak işletim sistemleri başlatıldığı zaman dilimleri de dahil olmak üzere zararlı payloadlarını tekrar tekrar yürütmek için sistem düzeyinde processler oluşturmuştur.
Exploitation for Privilege Escalation: APT32, yetki yükseltmek için CVE-2016-7255’i kullanmıştır.
Hijack Execution Flow: Saldırganlar, işletim sistemlerinin programları çalıştırma yöntemini ele geçirerek kendi zararlı payloadlarını yürütebilirler.
Process İnjection: APT32 zararlı yazılımı, Rundll32.exe’ye bir Cobalt Strike beaconu enjekte etmiştir.
Scheduled Task/Job: APT32, kurban sistemlerinde kalıcı olmak için scheduled task’ları kullanmıştır.
Valid Accounts: APT32, gerçek yerel yönetici hesabı kimlik bilgilerini kullanmıştır.
T1547.001 Boot or Logon Autostart Execution: Registry Run Keys/Startup Folder
T1543.003 Create or Modify System Process: Windows Service
T1068 Exploitation for Privilege Escalation
T1574.002 Hijack Execution Flow: DLL Side-Loading
T1055 Process İnjection
T1053.005 Scheduled Task/Job: Scheduled Task
T1078.003 Valid Accounts: Local Accounts
7.Defense Evasion
File and Directory Permissions Modification: APT32 ait macOS backdoor, yürütmek istediği dosyanın iznini 755 olarak değiştirmiştir.
Hide Artifacts: APT32’nin macOS backdoor, bir chflags işlevi aracılığıyla clientID dosyasını gizlemiştir. PowerShell pencerelerini gizlemek için WindowsStyle parametresini kullanmıştır. Ayrıca payloadlarını gizlemek için NTFS ye alternatif veri akışlarını kullanmıştır.
Hijack Execution Flow: APT32, zararlı bir DLL yükleyen Symantec ve McAfee’den yasal olarak imzalanmış yürütülebilir dosyaları çalıştırmıştır.
Indicator Removal on Host: APT32, sistem üzerindeki belirli olay günlüğü girişlerini temizlemiştir.
Masquerading: APT32, bir Cobalt Strike beaconu Flash Yükleyici olarak gizlemiştir. Algılamasını önlemek için pubprn.vbs dosyasını bir .txt dosyasına taşıyarak yeniden adlandırmıştır. Bir Windows güncellemesi gibi görünmek için bir NetCat binary dosyasını kb-10233.exe olarak yeniden adlandırmıştır. Ayrıca bir Cobalt Strike beacon payloadını, install_flashplayers.exe olarak yeniden adlandırmıştır.
Modify Registry: APT32’nin kullandığı backdoorun yapılandırmasını depolamak için Windows Kayıt Defterini değiştirmiştir.
Obfuscated Files or Information: APT32, PowerShell’lerini gizlemek için Invoke-Obfuscation framework’ü kullanarak diğer kod gizleme işlemlerini gerçekleştirmiştir. APT32 ayrıca, Base64 ve ‘Dont-Kill-My-Cat (DKMC) adlı bir framework kullanarak payloadlarını kodlamıştır. Kendilerine ait macOS backdoor’larından CBC modunda AES-256 ile ağ sızması için kullanılan kitaplığı da şifrelemiştir.
Process Injection: APT32, process tabanlı savunmalardan kaçınmak ve sistem üzerinde yetki yükseltmek için processlere kod enjekte edebilir.
System Binary Proxy Execution: APT32, kurban sistem üzerinde kod yürütme için mshta.exe’yi kullanmıştır. Ayrıca bir backdoor’u dinamik olarak indiren ve belleğe enjekte eden bir COM komut dosyasını yürütmek için regsvr32.exe’yi kullanan bir scheduled task oluşturmuştur. Backdoorları çalıştırmak için ise regsvr32 kullanmıştır. Zararlı yazılımın ilk bulaşma sürecini yürütmek için rundll32.exe’yi kullanmıştır.
System Script Proxy Execution: APT32, savunma mekanizmalarını atlayarak zararlı yazılımlarını sistem üzerinde yürütmek için PubPrn.vbs’yi kullanmıştır.
Use Alternate Authentication Material: Saldırganlar, bir ortamda lateral movement tekniği ile sistem erişim kontrollerini atlamak için parola hashlari ve Kerberos ticket gibi alternatif kimlik doğrulama yöntemlerini kullanabilir. Burada APT32, lateral movement tekniğinde pass to hash’i kullanmıştır. Ayrıca APT32, bilet geçişini kullanarak başarıyla uzaktan erişim elde etmiştir.
Valid Accounts: Saldırganlar, ilk erişim, kalıcılık, yetki yükseltme veya savunmadan kaçınma tekniklerini ile kurban sistemdeki hesapların kimlik bilgilerini alabilir ve kötüye kullanabilir. APT32 grubu ise bunu yöntemi kullanmıştır.
T1222.002 File and Directory Permissions Modification: Linux and Mac File and Directory Permissions Modification
T1564.001 Hide Artifacts: Hidden Files and Directories
T1564.003 Hide Artifacts: Hidden Window
T1564.004 Hide Artifacts: NTFS File Attributes
T1574.002 Hijack Execution Flow: DLL Side-Loading
T1070.001 Indicator Removal on Host: Clear Windows Event Logs
T1070.004 Indicator Removal on Host: File Deletion
T1070.006 Indicator Removal on Host: Timestamp
T1036.004 Masquerading: Masquerade Task or Service
T1036.005 Masquerading: Match Legitimate Name or Location
T1036.003 Masquerading: Rename System Utilities
T1112 Modify Registry
T1027.001 Obfuscated Files or Information: Binary Padding
T1055 Process Injection
T1218.005 System Binary Proxy Execution: Mshta
T1218.010 System Binary Proxy Execution: Regsvr32
T1218.011 System Binary Proxy Execution: Rundll32
T1216.001 System Script Proxy Execution: PubPrn
T1550.002 Use Alternate Authentication Material: Pass the Hash
T1550.003 Use Alternate Authentication Material: Pass the Ticket
T1078.003 Valid Accounts: Local Accounts
8.Credential Access
Input Capture: APT32, hesap parolası üzerindeki değişikliklerini izlemek ve yakalamak için PasswordChangeNotify’ı kötüye kullanmıştır.
OS Credential Dumping: APT32, kimlik bilgilerini toplamak için GetPassword_x64, Mimikatz’ı ve Windows Credential Dumper’ın özelleştirilmiş sürümlerini kullanmıştır.
Unsecured Credentials: APT32, Windows kayıt defterinde depolanan kimlik bilgilerini toplamak için Outlook Kimlik Bilgileri Damper’ı kullanmıştır.
T1056.001 Input Capture: Keylogging
T1003.001 OS Credential Dumping: LSASS Memory
T1552.002 Unsecured Credentials: Credentials in Registry
9.Discovery
Account Discovery: APT32, “net localgroup administrators” komutlarını kullanarak yönetici kullanıcıları sıralamıştır.
File and Directory Discovery: APT32’nin backdoor’u, bir makinedeki dosya ve dizinleri listeleme yeteneğine sahiptir.
Network Service Discovery: APT32, açık portları, hizmetleri, işletim sistemi parmak izini ve diğer güvenlik açıklarını aramak için ağ üzerinde tarama gerçekleştirmiştir.
Network Share Discovery: APT32, “C$” ve “ADMIN$” gibi yönetimsel paylaşımlar da dahil olmak üzere mevcut tüm paylaşımları göstermek için “net view” komutunu kullanmıştır.
Query Registry: APT32’nin backdoor’u, Windows Kayıt Defterini sorgulayarak kurban sistem ile ilgili bilgiler toplamıştır.
Remote System Discovery: APT32, “ “Domain Controllers” / domain komutu” ve “net group” kullanarak DC sunucularını numaralandırılmıştır. Grup ayrıca “ping” komutunu da kullanmıştır.
System Information Discovery: APT32, işletim sistemi sürümünü ve bilgisayar adını kurbanlardan toplamıştır. Grubun backdoorlarından biri, sistem bilgilerini toplamak için Windows Kayıt Defterini de sorgular ve başka bir mac OS backdooru, C&C sunucusuna ilk bağlantısında makinenin parmak izini gerçekleştirebilir. Virüs bulaşmış olan bilgisayarın hostname bilgisini tanımlamak için shell kodunu çalıştırmıştır.
System Network Configuration Discovery: APT32, sistemden IP adresini toplamak için “ipconfig /all” komutunu kullanmıştır.
System Network Connections Discovery: APT32, kurban makinesinde TCP bağlantılarını görüntülemek için “netstat -anpo tcp” komutunu kullanmıştır.
System Owner/User Discovery: APT32, kurban makinesi hostname bilgileri toplamak için sistem üzerinde “whoami” komutunu yürütmüştür. Ayrıca yine kurban makinesindeki kullanıcı hostname bilgilerini için shell kodunu çalıştırmıştır.
T1087.001 Account Discovery: Local Account
T1083 File and Directory Discovery
T1046 Network Service Discovery
T1135 Network Share Discovery
T1012 Query Registry
T1018 Remote System Discovery
T1082 System Information Discovery
T1016 System Network Configuration Discovery
T1049 System Network Connections Discovery
T1033 System Owner/User Discovery
10.Lateral Movement
Lateral Tool Transfer: APT32, yönetim hesaplarını kullanarak yatay geçiş yaptıktan sonra araçlarını kurban sistemlere dağıtmıştır.
Remote Services: APT32, araçlarını yürütmek, uzak makinelere kopyalamak ve Windows’un gizli ağ paylaşımlarını kullanmak için Net’i kullanmıştır.
Software Deployment Tools: APT32, kötü amaçlı yazılımları bir yazılım dağıtım görevi olarak dağıtarak lateral movement için McAfee ePO’nun güvenliğini ihlal etmiştir.
Use Alternate Authentication Material: APT32, bir ortamda lateral movement tekniği ile sistem erişim kontrollerini atlamak için parola hashlari ve Kerberos ticket gibi alternatif kimlik doğrulama materyallerini kullanabilir. Burada, lateral movement tekniğinde pass to hash’i kullanmıştır. Ayrıca ticket geçişini kullanarak başarıyla uzaktan erişimler elde etmiştir.
T1570 Lateral Tool Transfer
T1021.002 Remote Services: SMB/Windows Admin Shares
T1072 Software Deployment Tools
T1550.002 Use Alternate Authentication Material: Pass the Hash
T1550.003 Use Alternate Authentication Material: Pass the Ticket
11.Collection
Archive Collected Data: APT32’nin backdoor’u, sızmadan önce LZMA sıkıştırması ve RC4 şifreleme algoritmasını kullanmıştır.
Input Capture: APT32, kimlik bilgilerini elde etmek veya bilgi toplamak için kullanıcı girdilerini yakalama yöntemlerini kullanmıştır.
T1560 Archive Collected Data
T1056.001 Input Capture: Keylogging
12.Command and Control
Application Layer Protocol: APT32, ek frameworkler indirmek için oluşturdukları zararlı domainlerine HTTP veya HTTPS üzerinden iletişim kuran JavaScriptler kullanmıştır. Ayrıca Office makrosu aracılığıyla C2 için e-posta kullanmıştır.
Ingress Tool Transfer: APT32, web sitesi ziyaretçilerinin profilini çıkaran ve tehlikeye atan ek frameworkler indirmek için kurban web sitelerine JavaScript eklemiştir.
Non-Standard Port: Bir APT32 backdooru, backdoor yapılandırmasında belirtilen standart olmayan bir TCP bağlantı noktası (ör. 14146) üzerinden HTTP kullanmıştır.
Web Service: APT32, zararlı indirmeleri için Dropbox, Amazon S3 ve Google Drive’ı depolamak amacı ile kullanmıştır.
T1071.003 Application Layer Protocol: Mail Protocols
T1071.001 Application Layer Protocol: Web Protocols
T1105 Ingress Tool Transfer
T1571 Non-Standart Port
T1102 Web Service
13.Exfiltration
Exfiltration Over Alternative Protocol: APT32’nin, verileri komuta-kontrol kanalından bir protokol kullanılarak çalmasıdır. Örnek protokol olarak DNS verilebilir.
Exfiltration Over C2 Channel: APT32’nin backdoor’u, C&C sunucusuyla önceden açılmış bir kanal aracılığı ile verileri sızdırmıştır.
T1048.003 Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol
T1041 Exfiltration Over C2 Channel
Görsel olarak attack navigatore aşağıdaki linkten erişebilirsiniz:
Örnek Olabilecek Indicators of Compromise (IoC) Listesi
MD5
9602d1e23d8f32f31f475beb057da271
3273dde8b51915160ababbe6092bfce2
fc164ff402e76ec692c38fa568d4e7bd
e785b68a4a0502f3abeeba137db8f9cd
SHA-256
8b1b20dc5f0b9fda45aa888cd3c298a52d5a923d84e5fcddc6e64d3f042f9a67
8f031098e3722d2662203fafc57bafc927a6deb7424982102f45a1da6964806b
4991093dbb8e839785abff95058b1e577c75160b9576a68e4ed84337eeed9335
e2fba9178320650553a41a2494ed2607d1923eef38f7e9d01a82ebac0865caf3
SHA1
274efe297fd708fcb5a6d086eb045e316f91ccbe
1495285a07f9e55c04efc5c380b5ab201ac94f7c
a9c88aa6d725fef2aea04e40becffa926ac6a6fa
440460e49af5d3bfa55bf781d72d4de12f128e0a
DOMAİN
urnage.com
ucairtz.com
ucaargo.com
tulationeva.com
tsworthoa.com
traveroyce.com
tonholding.com
vphelp.net
volver.net
vitlescaux.com
HOSTNAME
zone.apize.net
yii.yiihao126.net
worker.baraeme.com
utitled.po9z.com
tops.gamecourses.com
support.chatconnecting.com
stack.inveglob.net
ssl.zin0.com
share.codehao.net
seri.volveri.net
IPv4
158.69.100.199
164.132.45.67
176.107.176.6
176.107.177.216
184.95.51.179
184.95.51.181
184.95.51.190
185.157.79.3
192.121.176.148
198.50.191.195