Japon varlıklarını ayırt etmekle tanınan Çin devlet destekli gelişmiş kalıcı tehdit (APT) grubu, yeni coğrafyaları hedef alan ve tehdit aktörünün hedeflemesinin “genişlediğini” öne süren uzun süredir devam eden yeni bir casusluk kampanyasına atfedildi.
En erken 2021 yılının ortalarında başladığına inanılan ve Şubat 2022’ye kadar devam ettiğine inanılan yaygın izinsiz girişler, ağustosböceğiAPT10, Stone Panda, Potassium, Bronze Riverside veya MenuPass Team olarak da bilinir.
Symantec Threat Hunter Team’den araştırmacılar, “Bu Ağustosböceği (aka APT10) kampanyasının kurbanları arasında Avrupa, Asya ve Kuzey Amerika dahil olmak üzere dünyanın birçok ülkesindeki hükümet, yasal, dini ve sivil toplum kuruluşları (STK’lar) yer alıyor” , Broadcom Yazılımının bir parçası, dedim The Hacker News ile paylaşılan bir raporda.
Symantec Threat Hunter Team’in kıdemli bilgi geliştiricisi Brigid O. Gorman, The Hacker News’e verdiği demeçte, “Din ve eğitim alanlarında çalışan bu kuruluşlarla birlikte hükümet ve STK sektörlerinde mağdurlara güçlü bir şekilde odaklanılıyor.”
Hedeflenen kuruluşların çoğu ABD, Kanada, Hong Kong, Türkiye, İsrail, Hindistan, Karadağ ve İtalya’da ve Japonya’da bir kurbanın yanında yer alıyor ve düşman bu kurbanlardan bazılarının ağlarında dokuz ay kadar uzun bir süre harcıyor. .
Gorman, “Telekom, hukuk ve ilaç sektörlerinde de bazı mağdurlar var, ancak hükümet ve kar amacı gütmeyen kuruluşlar bu kampanyanın ana odak noktası gibi görünüyor.”
Mart 2021’de Kaspersky araştırmacıları, grup tarafından Japonya’da bulunan bir dizi endüstri sektöründen bilgi toplama implantları dağıtmak için gerçekleştirilen bir istihbarat toplama operasyonunu tamamladı.
Daha sonra bu Şubat ayının başlarında Stone Panda, güvenliği ihlal edilmiş sistemlerden hassas bilgileri çalmak amacıyla Tayvan’ın finans sektörüne yönelik organize bir tedarik zinciri saldırısına karıştı.
Symantec tarafından gözlemlenen yeni saldırı dizisi, aktörlerin Microsoft Exchange Sunucularında bilinen, yama uygulanmamış bir güvenlik açığı aracılığıyla ilk erişim elde etmesi ve bunu kendi seçtikleri arka kapıyı dağıtmak için kullanmasıyla başlar. soda ustası.
“Ancak, belirli bir güvenlik açığından yararlanan saldırganları gözlemlemedik, bu nedenle ProxyShell veya ProxyLogon’dan yararlanıp yararlanmadıklarını söyleyemeyiz. [flaws]”dedi Gorman.
SodaMaster, ek yüklerin alınmasını kolaylaştıracak ve bilgileri komut ve kontrol (C2) sunucusuna geri sızdıracak özelliklerle donatılmış, Windows tabanlı bir uzaktan erişim truva atıdır.
Sızıntılar sırasında dağıtılan diğer araçlar arasında Mimikatz kimlik bilgisi dökümü yardımcı programı, dahili keşif yapmak için NBTScan, uzaktan komut yürütme için WMIExec ve virüslü ana bilgisayarda özel bir yükleyici başlatmak için VLC Media Player yer alıyor.
Gorman, “Bu kadar çok sayıda sektörde kurbanların olduğu bu kampanya, grubun artık daha geniş bir hedef yelpazesiyle ilgilendiğini gösteriyor” dedi.
“Hedeflenen organizasyon türleri – kar amacı gütmeyen kuruluşlar ve dini ve eğitim faaliyetlerinde bulunanlar da dahil olmak üzere devlet kuruluşları – büyük olasılıkla casusluk amacıyla grubun ilgisini çekiyor. Bu kampanyanın arkasındaki motivasyonun casusluk olduğuna işaret edin.”