Çinli bilgisayar korsanları ORB ağını genişletmek için LONGLEASH kötü amaçlı yazılımı geliştirdi Siber Güvenlik

Çinli bilgisayar korsanları ORB ağını genişletmek için LONGLEASH kötü amaçlı yazılımı geliştirdi

'UAT-7810' olarak takip edilen Çinli bilgisayar korsanları, başta yama yapılmamış Ruckus yönlendiricileri olmak üzere internete yönelik ağ cihazlarını...

'UAT-7810' olarak takip edilen Çinli bilgisayar korsanları, başta yama yapılmamış Ruckus yönlendiricileri olmak üzere internete yönelik ağ cihazlarını tehlikeye atarak Operasyonel Aktarma Kutusu (ORB) ağlarını genişletmek için kötü amaçlı yazılımlarını aktif olarak geliştiriyor.

Cisco Talos araştırmacılarına göre ORB ağı, UAT-5918 de dahil olmak üzere Çin'e uyumlu diğer gelişmiş kalıcı tehditler (APT'ler) için güvenli bir aktarım altyapısı görevi görüyor.

Daha önce Google Mandiant tarafından belgelenen bu tür altyapı, tehdit aktörlerinin ağ trafiğini bölgesel cihazlar aracılığıyla proxy olarak kullanmasına olanak tanıyarak tespitten kaçınmak ve ilişkilendirmeyi karmaşık hale getirmek için trafiğin meşru yerel altyapıdan geliyormuş gibi görünmesini sağlıyor.

Sonuç ve Değerlendirme

Talos analistleri, daha önce belgelenen SHORTLEASH arka kapısının yeni bir sürümü olan LONGLEASH, bir Linux arka kapısı olan DOGLEASH, bir yönetim aracı olan JARLEASH ve bir test aracı olan LEASHTEST dahil olmak üzere, kampanyada yeni kötü amaçlı yazılımlar tespit etti.

Önemli Gelişmeler

Araştırmacılar, UAT-7810'un ilk erişim elde etmek için öncelikle Ruckus yönlendiricilerindeki CVE-2020-22653, CVE-2020-22658 ve CVE-2023-25717 ile ASUS AiCloud yönlendiricilerindeki CVE-2025-2492 dahil olmak üzere bilinen (n-günlük) güvenlik açıklarından yararlandığını bildirdi.

Teknik Analiz

LONGLEASH kötü amaçlı yazılımı

Yeni keşfedilen LONGLEASH kötü amaçlı yazılımı, SHORTLEASH'in yükseltilmiş bir sürümüdür ve ilk olarak 2025 yılında SecurityScorecard tarafından belgelenmiştir ve yeteneklerini önemli ölçüde genişletmektedir.

Gelecekte Ne Bekleniyor?

Kötü amaçlı yazılım, komut ve kontrol (C2) iletişimlerini, web sunucusu barındırmayı, ağ tüneli yönetimini ve hem C2 sunucusu hem de istemci olarak çalışmayı destekleyen önceki sürümü temel alıyor.

Bunlara ek olarak Talos araştırmacıları artık aşağıdaki yetenekleri de gözlemledi:

Trafik yönlendirmeyle HTTP, DNS, SOCKS, TCP, ICMP ve UDP proxy oluşturma

Uzmanların Görüşleri

SMTP istemci/sunucu işlevselliği

Kurcalama veya başka şüpheli etkinlik tespit edildiğinde kendini kaldırma

Virüslü düğümler arasında komutları ve verileri ileten bir ara C2 sunucusu gibi davranabilme yeteneği

Nasıl Önlem Alınmalı?

DOGLEASH, JARLEASH ve LEASHTEST

Araştırmacılar, LONGLEASH'in yanı sıra, web kabuk komut dosyaları aracılığıyla dağıtılan hafif bir Linux arka kapısı olan DOGLEASH'ı da keşfettiler.

Başlatıldığında, dinleyen bir TCP bağlantı noktası açar ve sabit kodlanmış bir parola kullanarak gelen isteklerin kimliğini doğrular; kabuk komut yürütmeyi, dosya erişimini ve değiştirmeyi, işletim sistemi bilgilerinin alınmasını ve doğrudan ana bilgisayarın belleğinde rastgele kod yürütülmesini destekler.

Sistem Güvenliği

JARLEASH, web tabanlı dosya yönetimi sağlayan ve FTP, SFTP ve Netcat sunucu işlevselliğini içeren Java tabanlı bir yönetim aracıdır.

Detaylar ve Etkileri

Son olarak tehdit aktörleri, bir MIPS IoT cihazının kötü amaçlı yazılım işlemleriyle ilgili işlevleri gerçekleştirip gerçekleştiremeyeceğini doğrulamak için kullanılabilecek LEASHTEST'i geliştirdi ve muhtemelen LONGLEASH'in MIPS desteğini iyileştirmeye yardımcı olacak.

Cisco Talos, UAT-7810'un ORB altyapısını genişletmeye devam ettiği, SHORTLEASH'i aktif olarak daha yetenekli LONGLEASH ile değiştirip genişlettiği ve aynı zamanda araç setini yeni kötü amaçlı yazılımlarla genişlettiği sonucuna varmıştır.

UAT-7810 etkinliğiyle bağlantılı güvenlik ihlali göstergelerinin (IoC'ler) tam listesi ve en son araç seti, Cisco Talos'un raporunun alt kısmında mevcuttur.

Paylaş: