Nov 27, 2024Ravie LakshmananMalware / Cyber Espionage Mwigizaji tishio anayejulikana kama APT-C-60 amehusishwa na shambulio la mtandaoni lililolenga shirika lisilo na jina nchini Japani ambalo lilitumia chambo cha mada ya maombi ya kazi kuwasilisha mlango wa nyuma wa SpyGlace. Hiyo ni kulingana na matokeo ya JPCERT/CC, ambayo yalisema uvamizi huo ulipata huduma halali kama vile Hifadhi ya Google, Bitbucket na StatCounter. Shambulio hilo lilitekelezwa mnamo Agosti 2024. “Katika shambulio hili, barua pepe inayodaiwa kuwa kutoka kwa mfanyakazi mtarajiwa ilitumwa kwa mtu anayeajiriwa na shirika, na kuambukiza mawasiliano na programu hasidi,” shirika hilo lilisema. APT-C-60 ni kifuatiliaji kilichotumwa kwa kikundi cha kijasusi cha mtandao kilicho na uhusiano na Korea Kusini ambacho kinajulikana kulenga nchi za Asia Mashariki. Mnamo Agosti 2024, ilionekana kutumia athari ya utekelezaji wa msimbo wa mbali katika Ofisi ya WPS ya Windows (CVE-2024-7262) ili kuacha mlango maalum wa nyuma unaoitwa SpyGlace. Msururu wa mashambulizi uliogunduliwa na JPCERT/CC unahusisha matumizi ya barua pepe ya ulaghai ambayo ina kiungo cha faili iliyopangishwa kwenye Hifadhi ya Google, faili ya diski kuu (VHDX), ambayo, inapopakuliwa na kupachikwa, inajumuisha hati ya udanganyifu na a. Njia ya mkato ya Windows (“Self-Introduction.lnk”). Faili ya LNK inawajibika kuanzisha hatua zinazofuata katika mlolongo wa maambukizi, huku pia ikionyesha hati ya kuvutia kama kisumbufu. Hii inahusisha kuzindua kipakuliwa cha kipakuliwa/kidondosha kinachoitwa “SecureBootUEFI.dat” ambacho, kwa upande wake, hutumia StatCounter, zana halali ya uchanganuzi wa wavuti, kusambaza mfuatano ambao unaweza kutambua kifaa kwa njia ya kipekee kwa kutumia uga wa kirejeleo cha HTTP. Thamani ya mfuatano inatokana na jina la kompyuta, saraka ya nyumbani, na jina la mtumiaji na kusimba. Kisha kipakuzi hufikia Bitbucket kwa kutumia mfuatano wa kipekee uliosimbwa ili kupata hatua inayofuata, faili inayojulikana kama “Service.dat,” ambayo hupakua vizalia vya programu vingine kutoka kwa hazina tofauti ya Bitbucket – “cbmp.txt” na “icon.txt” – ambazo zimehifadhiwa kama “cn.dat” na “sp.dat,” mtawalia. “Service.dat” pia huendelea kuwa “cn.dat” kwa seva pangishi iliyoathiriwa kwa kutumia mbinu inayoitwa utekaji nyara wa COM, kisha utekaji nyara wa COM utekeleze mlango wa nyuma wa SpyGlace (“sp.dat”). Mlango wa nyuma, kwa upande wake, huanzisha mawasiliano na seva ya amri-na-kudhibiti (“103.187.26).[.]176”) na inasubiri maagizo zaidi yanayoiruhusu kuiba faili, kupakia programu-jalizi za ziada, na kutekeleza amri. Inafaa kukumbuka kuwa kampuni za usalama wa mtandao za Chuangyu 404 Lab na Positive Technologies zimeripoti kwa kujitegemea kuhusu kampeni zinazofanana zinazowasilisha programu hasidi ya SpyGlace, pamoja na kuangazia ushahidi unaoelekeza. APT-C-60 na APT-Q-12 (inayojulikana kama Pseudo Hunter) kuwa vikundi vidogo ndani ya kundi la DarkHotel “Vikundi kutoka eneo la Asia vinaendelea kutumia mbinu zisizo za kawaida kuwasilisha programu hasidi kwa vifaa vya wahasiriwa,” Positive Technologies ilisema “Moja ya mbinu hizi ni matumizi ya diski pepe katika VHD/. Umbizo la VHDX ili kukwepa mifumo ya ulinzi ya mfumo wa uendeshaji.” Je, umepata makala haya ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee zaidi tunayochapisha.
Leave a Reply