olarak bilinen gelişmiş bir kalıcı tehdit (APT) aktörü tomurcuk kurdu En son araştırmalara göre, altı yıldan fazla bir süredir ilk kez ABD merkezli bir kuruluşu hedef aldı.
Saldırı, adı açıklanmayan bir ABD eyalet yasama organı olan Broadcom Software’in bir parçası olan Symantec Threat Hunter ekibini hedef aldı. söz konusu The Hacker News ile paylaşılan bir raporda.
Son altı ayda ortaya çıkan diğer “stratejik açıdan önemli” saldırılar, bir Ortadoğu ülkesinin hükümetine, çok uluslu bir elektronik üreticisine ve Güney Doğu Asya’daki bir hastaneye yönelikti.
tomurcuk kurduAPT27, Bronze Union, Emissary Panda, Lucky Mouse ve Red Phoenix olarak da adlandırılan , ilgi çekici bilgileri sızdırmak için özel ve açık araçların bir karışımını kullanan saldırılar yoluyla Çin adına faaliyet gösterdiğine inanılan bir tehdit aktörüdür.
Secureworks, “Bronze Union, faaliyet gösterdiği ortamlara uyum sağlamak için yüksek derecede operasyonel esneklik sağlar.” notlar ulus-devlet grubunun bir profilinde, “uzun bir süre boyunca hassas sistemlere erişimi sürdürme” yeteneğine dikkat çekiyor.
Rakip topluluğa atfedilen önemli bir arka kapı, en az 2013’ten beri kullanıma sunulan ve sürekli geliştirilmekte olan HyperBro’dur. Diğer araçları arasında PlugX, SysUpdate ve China Chopper web kabuğu bulunur.
Tehdit aktörünün sunucuları tehlikeye atmak ve web kabukları yüklemek için Log4Shell kusurlarından yararlanması ve sonuçta HyperBro, PlugX, Cobalt Strike ve kimlik bilgisi dökümü yazılımlarının dağıtımının önünü açmasıyla, en son saldırılar da farklı değil.
Gelişme, Budworm’un bir ABD varlığına yönelik bir saldırıyla ikinci kez bağlantılı olduğunu gösteriyor. Bu ayın başlarında ABD hükümeti, birden fazla ulus devlet hack grubunun, China Chopper ve HyperBro’yu bırakmak için Microsoft Exchange Server’daki ProxyLogon kusurlarını kullanarak bir savunma sektörü kuruluşunu ihlal ettiğini açıkladı.
Araştırmacılar, “Son yıllarda grubun faaliyetleri büyük ölçüde Asya, Orta Doğu ve Avrupa’ya odaklanmış görünüyor” dedi. “ABD merkezli hedeflere yönelik saldırıların yeniden başlaması, grubun odak noktasında bir değişikliğe işaret edebilir.”