Çin devlet destekli olduğundan şüphelenilen bir aktör, en az Mart 2022’den beri devam eden bir kampanyanın parçası olarak bir dijital sertifika yetkilisinin yanı sıra Asya’nın farklı ülkelerinde bulunan hükümet ve savunma kurumlarını ihlal etti.
Broadcom Software tarafından geliştirilen Symantec, saldırıları, adı altında takip ettiği düşmanca bir grupla ilişkilendirdi. Billbug, daha önce bu aktöre atfedilen araçların kullanımına atıfta bulunuyor. Faaliyetin casusluk ve veri hırsızlığı tarafından yönlendirildiği görülüyor, ancak bugüne kadar hiçbir verinin çalınmadığı söylenmiyor.
BillbugBronz Elgin, Lotus Blossom, Lotus Panda olarak da adlandırılır, bahar ejderhasıve Thrip, Çin çıkarları adına faaliyet gösterdiğine inanılan gelişmiş bir kalıcı tehdit (APT) grubudur. Birincil hedefler, Güneydoğu Asya’daki hükümet ve askeri kuruluşları içerir.
2019’da düşman tarafından düzenlenen saldırılar, aşağıdaki gibi arka kapıların kullanılmasını içeriyordu: Hannotog ve SagerunexHong Kong, Makao, Endonezya, Malezya, Filipinler ve Vietnam’da gözlemlenen izinsiz girişlerle.
Tehdit aktörünün hassas bilgileri sızdırmak için belirli durumlarda Catchamas olarak bilinen bir bilgi hırsızı kullandığı bilinse bile, her iki implant da kurban ağına kalıcı uzaktan erişim sağlamak üzere tasarlanmıştır.
Symantec araştırmacıları, “Bir sertifika yetkilisinin hedeflenmesi dikkat çekicidir, sanki saldırganlar sertifikalara erişmek için sertifikayı başarıyla ele geçirebilmişler ve bunları potansiyel olarak kötü amaçlı yazılımları geçerli bir sertifikayla imzalamak için kullanabilirler ve kurban makinelerde tespit edilmesini önlemeye yardımcı olabilirler,” diyor Symantec araştırmacıları. söz konusu The Hacker News ile paylaşılan bir raporda.
“Ayrıca HTTPS trafiğini engellemek için güvenliği ihlal edilmiş sertifikaları da kullanabilir.”
Ancak siber güvenlik şirketi, Billbug’un dijital sertifikaları tehlikeye atmakta başarılı olduğunu gösteren hiçbir kanıt olmadığını kaydetti. Faaliyetin ilgili makamlara bildirildiği belirtildi.
En son saldırı dalgasının analizi, ilk erişimin büyük olasılıkla internete yönelik uygulamaların istismar edilmesi yoluyla elde edildiğini ve ardından operasyonel hedeflere ulaşmak için ısmarlama ve arazide yaşayan araçların bir kombinasyonunun kullanıldığını gösteriyor.
Bu, WinRAR, Ping, Traceroute, NBTscan, Certutil gibi yardımcı programların yanı sıra rastgele dosyaları indirebilen, sistem bilgilerini toplayabilen ve şifrelenmiş verileri yükleyebilen bir arka kapı içerir.
Saldırılarda ayrıca, adı verilen açık kaynaklı çok sekmeli bir proxy aracı da tespit edildi. kaçak yolcu ve Hannotog aracılığıyla makineye bırakılan Sagerunex kötü amaçlı yazılımı. Arka kapı, keyfi komutları çalıştırmak, ek yükleri bırakmak ve ilgili dosyaları sifonlamak için donatılmıştır.
Araştırmacılar, “Bu aktörün aynı anda birden fazla kurbanı tehlikeye atma yeteneği, bu tehdit grubunun, sürekli ve geniş kapsamlı kampanyalar yürütme yeteneğine sahip, yetenekli ve iyi kaynaklara sahip bir operatör olmaya devam ettiğini gösteriyor.”
“Billbug, geçmişte grupla bağlantılı olan araçları yeniden kullanarak, bu etkinliğin kendisine atfedilme olasılığından da caydırılmamış görünüyor.”