Çinli Siber Korsan Örgütü Deep Panda İlginç Silahlarla Geri Döndü 

Çin merkezli Gelişmiş Sürekli Tehdit (APT) örgütünü temsil eden Deep Panda, son 10 yıldır faaliyetler gerçekleştiriyor. APT suç örgütü devlet kurumları, savunma, sağlık, telekomünikasyon ve finansal kurum/kuruluşları hedef alıyor. Saldırıların amacı ise hırsızlık ve gözetim.

Çok sayıda saldırı aracı kullanan örgütün öne çıkan silahları arasında Milestone backdoor ve GhOst RAT koduna dayanan Infoadmin uzaktan erişim torjanı (RAT) da bulunuyor. Deep Panda’nın saldırıları incelendiğinde bir diğer Çin merkezli siber korsan örgütü olan ve geliştiriciler ile perakendecileri hedef alan Winnti’yi ile birlikte hareket ettiği düşünülüyor.

Güvenlik uzmanları tarafından tespit edilen en son saldırılarda Deep Panda’nın finans, seyahat ve kozmetik sektörünü hedef aldığı tespit edilmişti. Geçtiğimiz ay içinde örgütün yeni kötü amaçlı programı yaymak için Apache Log4J Java kütüphanesinde bulunan Log4Shell zafiyetini (CVE-2021-44228, CVSS 10.0) kullandığı anlaşıldı.

Farklı siber korsan örgütleri Log4Shell’i kullanarak WMware Horizon sunucularından bilgi çalmak ve kripto para hırsızlığı yapmayı hedefliyor. Deep Panda’nın ise Fire Chili adı verilen yeni kötü amaçlı program ile Milestone arka kapısını kullanarak sistemlerdeki faaliyetleri takip ediyor.

Teknik okuma

Winnti’nin kötü amaçlı programlarını kullanmak için faydalandığı çalıntı dijital sertifikalardan yararlanan Deep Panda, böylece hedeflenen makinelerin güvenli modda çalışmamasını sağlıyor. Ardından makinedeki işletim sistemi denetleniyor ve FireChili işlemleri için belgelenmemiş çekirdek yapı ve nesneleri içeren Direct Kernel Object Modification (DKOM) kullanıyor. Bu sebeple saldırının spesifik işletim sistemleri üzerinde çalışması gerekiyor, aksi takdirde makine çökebiliyor.

Saldırının Windows 10 Creators Update (Redstone 2) üzerinde kullanıldığı belirtiliyor. Sunucular kötü amaçlı yazılımları mevcut güvenlik sistemlerinden saklamak için kullanılıyor. Kötü amaçlı süreçlerin kapatılmasını engelleyen müdahalenin yanı sıra, zararlı işlemlerin Görev Yöneticisi’nde görülmesi engelleniyor.

Güvenlik uzmanlarının 2017’den topladığı 32-bit ve 64-bit dört sunucu örneği, ABD ve G.Kore oyun şirketleri tarafından sunulan çalıntı sertifikalar ile imzalanmıştı. Kötü amaçlı yazılım aynı zamanda giriş anahtarlarını ve TCP ağ bağlantılarını da gizleme yeteneğine sahip.

Milestone backdoor, hedef alınan makinede veri çalmaya ve güvenlik bariyerlerini geçersiz kılmaya devam ediyor. Dahası, araştırmacılar kötü amaçlı yazılım yükleyen bir Milestone dropper da keşfetti.

Araştırmacılar Winnti ve Deep Panda’nın kullandığı birçok silah bilinse de, Fire Chili’nin yeni bir yöntemi temsil ettiğini belirtti. Aynı yöntemlerin farklı örgütler tarafından kullanılıyor olması da iki grubun silahlarını ve yeteneklerini paylaştıklarına işaret ediyor.