Çin devletine bağlı tehdit aktörü TA423 (diğer adıyla Leviathan/APT40), Tayvan Boğazı’ndaki bir açık deniz rüzgar santralinde yer alan kuruluşlar da dahil olmak üzere Güney Çin Denizi’nde faaliyet gösteren ülke ve kuruluşlara yönelik sürekli bir siber casusluk kampanyasının arkasında.
PwC ile işbirliği içinde çalışan siber güvenlik firması Proofpoint tarafından hazırlanan bir rapora göre, tehdit aktörünün en son kampanyaları, sahte Avustralya Sabah Haberleri de dahil olmak üzere Avustralya medya kuruluşlarını taklit eden kötü niyetli e-postaları kullanarak keşif amacıyla ScanBox kötü amaçlı yazılımını teslim etti.
Araştırmacılar ayrıca devlet kurumlarını, medya şirketlerini ve Güney Çin Denizi rüzgar türbini operatörlerini ve Tayvan Boğazı’ndaki Yunlin Açık Deniz Rüzgar Çiftliği için ekipman tedarik eden Avrupalı bir üreticiyi hedef alan kimlik avı faaliyetlerini de gözlemledi.
Casusluk kampanyası, kurbanları kötü amaçlı bir web sitesine yönlendiren kimlik avı e-postalarında teslim edilen URL’lerle Nisan-Haziran ayları arasında etkindi ve açılış sayfası, seçilen hedeflere bir JavaScript ScanBox kötü amaçlı yazılım yükü gönderdi.
“Nisan ile Haziran 2022 arasında tanımlanan ScanBox ile ilgili kimlik avı kampanyaları, Proofpoint’in orta düzeyde bir güvenle değerlendirdiği Gmail ve Outlook e-posta adreslerinden kaynaklandı ve tehdit aktörü tarafından oluşturuldu ve çeşitli konulardan yararlandı. [lines] ‘Hasta İzni’, ‘Kullanıcı Araştırması’ ve ‘İşbirliği Talebi’ dahil olmak üzere kampanyayla ilgili bir blog yazısı kayıt edilmişkimlik avı kampanyasının şu anda devam ettiğini de sözlerine ekledi.
ScanBox, hedefin halka açık IP adresi, kullandıkları Web tarayıcısının türü ve tarayıcı yapılandırması (örneğin dil veya eklenti bilgileri) gibi çeşitli bilgi türlerini toplamak için tasarlanmış bir keşif ve yararlanma çerçevesidir. Tehdit aktörlerinin kurbanların profilini çıkarmasına ve daha fazla özenle hazırlanmış kötü amaçlı yazılımları seçilen ilgili hedeflere ulaştırmasına olanak tanır.
Bu, kötü amaçlı yazılımın kurbanın sistemlerinde kalıcılık kazanmak ve saldırganın casusluk faaliyetleri gerçekleştirmesine izin vermek için konuşlandırılabileceği bilgi toplama ve olası takip eden istismar veya uzlaşma aşamaları için bir kurulum görevi görür.
Proofpoint’in tehdit araştırma ve tespitten sorumlu başkan yardımcısı Sherrod DeGrippo, “Aktörlerin daha sonra daha fazla uzlaşma sağlamak için izleyecekleri en iyi rotayı incelediği ve karar verdiği, kurbanın ağı hakkında bir izlenim yaratıyor” diye açıklıyor.
Proofpoint, kampanyanın ilk aşaması olan Mart 2021’e kadar Malezya ve Avustralya merkezli kuruluşlara karşı tutarlı bir hedefleme modeli gözlemlemeye başladı.
Raporda, “İkinci aşama Mart 2022’de başladı ve her hedef için özelleştirilmiş şablon URL’lerinden yararlanan RTF şablon ekleme eklerini kullanan kimlik avı kampanyalarından oluşuyordu.”
Neredeyse On Yıldır Aktif
DeGrippo, TA423’ün Asya-Pasifik bölgesindeki askeri ve siyasi olaylarla örtüşen faaliyeti ile yaklaşık 10 yıldır aktif olduğunu belirtiyor. TA423’ün tipik hedefleri arasında savunma müteahhitleri, üreticiler, üniversiteler, devlet kurumları, diplomatik anlaşmazlıklarda yer alan hukuk firmaları ve Avustralasya politikası veya Güney Çin Denizi operasyonları ile ilgili yabancı şirketler bulunmaktadır.
TA423’ü, Tayvan’daki son gerilimler de dahil olmak üzere Güney Çin Denizi ile ilgili konularda Çin hükümetini destekleyen, tehdit ortamındaki “en tutarlı” gelişmiş kalıcı tehdit (APT) aktörlerinden biri olarak nitelendiriyor.
“Bu grup özellikle bölgede kimin aktif olduğunu bilmek istiyor ve kesin olarak söyleyemesek de, denizcilik konularına odaklanmalarının Malezya, Singapur, Tayvan ve Avustralya gibi yerlerde sabit bir öncelik olmaya devam etmesi muhtemel” dedi. açıklar.
Grup o kadar yetenekli ki, 2021’de ABD Adalet Bakanlığı, iddia edilen üyelerinden dördünü “fikri mülkiyeti ve gizli ticari bilgileri hedef alan küresel bilgisayar saldırı kampanyası” ile suçladı.
DeGrippo, “TA423’ün öncelikle Güney Çin Denizi’nde çıkarları olan ülkeleri ve ayrıca Avustralya, Avrupa ve Amerika Birleşik Devletleri’nde daha fazla müdahaleyi hedefleyen istihbarat toplama ve casusluk misyonunu sürdürmeye devam etmesini bekliyoruz.” diyor.
Kimlik Avı Kampanyalarında Artış
Kötü niyetli aktörler, kimlik avı kampanyaları yürütmek için giderek daha karmaşık ve sıra dışı yöntemler kullanıyor.
Bu ayın başlarında, tehdit aktörleri, yaygın bir kampanyada Microsoft 365 kimlik bilgilerini çalmak için güvenliği ihlal edilmiş bir Dynamics 365 Müşteri Sesi iş hesabı ve anket görünümündeki bir bağlantı kullanıyor.
Google araştırmacıları ayrıca, önceden edinilmiş kimlik bilgilerini kullanarak kurbanın Gmail, Yahoo ve Microsoft Outlook hesaplarından gelen e-postaları tırmalayan yeni bir veri kazıma aracına sahip olan İranlı APT grubu Charming Kitten’ın en son tehdidini keşfetti.
DeGrippo, e-posta kullanıcılarını ve e-posta vektörünü korumanın, özellikle önemli e-posta trafiğine sahip yoğun şekilde hedeflenen endüstriler için kuruluşlar için en önemli öncelik olması gerektiğini söylüyor.
“Kuruluşlar insanlara, süreçlere ve teknolojiye dayalı bir siber güvenlik stratejisine odaklanmalı” diye ekliyor. “Bu, bireyleri kötü niyetli e-postaları belirleme konusunda eğitmek, tehditleri kullanıcıların gelen kutularına ulaşmadan önce engellemek için e-posta güvenlik araçlarını kullanmak ve tehditlerin hemen azaltılabilmesini sağlamak için doğru süreçleri devreye sokmak anlamına geliyor.”