Οι Hackers APT συνδεδεμένοι με την Κίνα εκμεταλλεύονται την πολιτική ομάδας των Windows για να αναπτύξουν κακόβουλο λογισμικό

Μια εξελιγμένη εκστρατεία κυβερνοκατασκοπείας που στοχεύει κυβερνητικές οντότητες στη Νοτιοανατολική Ασία και την Ιαπωνία αποκάλυψε έναν νέο παράγοντα απειλών, ευθυγραμμισμένο με την Κίνα, που ονομάστηκε LongNosedGoblin.

Ενεργή τουλάχιστον από τον Σεπτέμβριο του 2023, αυτή η ομάδα προηγμένης επίμονης απειλής (APT) διακρίνεται αξιοποιώντας ένα ποικίλο σύνολο εργαλείων προσαρμοσμένων οικογενειών κακόβουλου λογισμικού C#/.NET.

Οι δραστηριότητές τους επικεντρώνονται κυρίως στη συλλογή πληροφοριών, χρησιμοποιώντας μυστικές τεχνικές για να διεισδύσουν σε ευαίσθητα δίκτυα και να διατηρήσουν μακροπρόθεσμη πρόσβαση χωρίς εντοπισμό.

Η πιο αξιοσημείωτη τακτική της ομάδας περιλαμβάνει την κατάχρηση της πολιτικής ομάδας των Windows για πλευρική κίνηση και ανάπτυξη κακόβουλου λογισμικού.

Διακυβεύοντας την υποδομή του Active Directory, οι εισβολείς διανέμουν κακόβουλα ωφέλιμα φορτία σε δικτυωμένα μηχανήματα, παρακάμπτοντας ουσιαστικά τις παραδοσιακές περιμετρικές άμυνες.

Αυτή η μέθοδος τους επιτρέπει να διαδίδουν εργαλεία όπως το NosyHistorian, το οποίο συγκεντρώνει το ιστορικό του προγράμματος περιήγησης για να εντοπίσει στόχους υψηλής αξίας για περαιτέρω εκμετάλλευση κρίσιμων περιουσιακών στοιχείων.

Αναλυτές Welivesecurity αναγνωρισθείς το κακόβουλο λογισμικό στις αρχές του 2024 σε ένα κυβερνητικό δίκτυο της Νοτιοανατολικής Ασίας, όπου πολλά μηχανήματα παραβιάστηκαν ταυτόχρονα μέσω ενημερώσεων πολιτικής ομάδας.

Οι έρευνες αποκάλυψαν ότι οι εισβολείς έκρυβαν το κακόβουλο λογισμικό τους ως νόμιμα αρχεία πολιτικής, όπως το History.ini ή το Registry.pol, για να ενσωματωθούν στους καταλόγους προσωρινής μνήμης πολιτικής ομάδας.

Αυτό το στρατηγικό καμουφλάζ υπογραμμίζει την έμφαση που δίνει ο όμιλος στην υπεκφυγή και την επιμονή μέσα σε παραβιασμένα περιβάλλοντα.

Μηχανισμός εκτέλεσης NosyDoor

Η κύρια κερκόπορτα του ομίλου, το NosyDoor, αποτελεί παράδειγμα της εξάρτησής τους από τεχνικές που ζουν εκτός της γης και την υποδομή διοίκησης και ελέγχου που βασίζεται σε σύννεφο.

Το κακόβουλο λογισμικό λειτουργεί μέσω μιας πολύπλοκης αλυσίδας εκτέλεσης τριών σταδίων. Αλυσίδα εκτέλεσης NosyDoor, σχεδιασμένη να αποφεύγει τον εντοπισμό από τυπικά προϊόντα ασφαλείας.

Η μόλυνση ξεκινά με ένα συστατικό σταγονόμετρου που αποκρυπτογραφεί τα ενσωματωμένα ωφέλιμα φορτία χρησιμοποιώντας το πρότυπο κρυπτογράφησης δεδομένων (DES) με το κλειδί UevAppMo.

Αυτό το σταγονόμετρο χρησιμοποιεί προστατευτικά κιγκλιδώματα εκτέλεσης. Κωδικός σταγονόμετρου με προστατευτικά κιγκλιδώματα εκτέλεσης, για να διασφαλιστεί ότι το κακόβουλο λογισμικό εκρήγνυται μόνο σε συγκεκριμένα μηχανήματα θυμάτων.

Μόλις επικυρωθεί, καθιερώνει την επιμονή δημιουργώντας μια προγραμματισμένη εργασία που εκτελεί ένα νόμιμο δυαδικό αρχείο των Windows, το UevAppMonitor.exe, το οποίο το κακόβουλο λογισμικό αντιγράφει από το System32 στον κατάλογο πλαισίου .NET.

Ο πυρήνας της στρατηγικής αποφυγής βρίσκεται στην ένεση AppDomainManager. Οι εισβολείς τροποποιούν τη διαμόρφωση του νόμιμου εκτελέσιμου αρχείου για να φορτώσουν ένα κακόβουλο DLL.

Αυτό το αρχείο διαμόρφωσης κατευθύνει την εφαρμογή να προετοιμάσει έναν προσαρμοσμένο τομέα από το SharedReg.dll. Αυτό το DLL παρακάμπτει τη διεπαφή σάρωσης Antimalware (AMSI) και αποκρυπτογραφεί το τελικό ωφέλιμο φορτίο NosyDoor.

Στη συνέχεια, η κερκόπορτα ανακτά τη διαμόρφωσή της. Αποκρυπτογραφεί τη διαμόρφωση (log.cached, beautified) και ξεκινά την επικοινωνία με το Microsoft OneDrive χρησιμοποιώντας μεταδεδομένα κρυπτογραφημένα με RSA για τη λήψη εντολών που είναι αποθηκευμένες σε αρχεία εργασιών.