Orta Doğu’daki telekomünikasyon sağlayıcıları, 2023’ün ilk çeyreğinde başlayan yeni siber saldırılara maruz kalıyor.
İzinsiz giriş seti, uzun süredir devam eden bir kampanyayla ilişkili Çinli bir siber casusluk aktörüne atfedildi. Operasyon Yumuşak Hücre takım örtüşmelerine dayalı.
SentinelOne ve QGroup’tan araştırmacılar, “İlk saldırı aşaması, komut yürütme için kullanılan web kabuklarını dağıtmak için İnternet’e bakan Microsoft Exchange sunucularına sızmayı içerir.” yeni teknik rapor The Hacker News ile paylaştı.
“Bir dayanak noktası oluşturulduktan sonra, saldırganlar çeşitli keşif, kimlik bilgisi hırsızlığı, yanal hareket ve veri sızdırma faaliyetleri yürütür.”
Cybereason’a göre Soft Cell Operasyonu, Çin bağlantılı aktörler tarafından en az 2012’den beri telekomünikasyon sağlayıcılarını hedef alan kötü niyetli faaliyetlere atıfta bulunuyor.
Microsoft tarafından da takip edilen Soft Cell tehdit aktörü galyumyama uygulanmamış internete yönelik hizmetleri hedeflediği ve aşağıdaki gibi araçları kullandığı bilinmektedir: mimikatz hedeflenen ağlar arasında yanal harekete izin veren kimlik bilgilerini elde etmek.
Düşman kolektif tarafından Güneydoğu Asya, Avrupa, Afrika ve Orta Doğu’da faaliyet gösteren şirketlere yönelik casusluk saldırılarında PingPull kod adlı “tespit edilmesi zor” bir arka kapı da kullanılmaya başlandı.
En son kampanyanın merkezinde, yeni algılama önleme özellikleri içeren mim221 olarak adlandırılan Mimikatz’ın özel bir varyantının konuşlandırılması yer alıyor.
Araştırmacılar, “Bir dizi gelişmiş teknik uygulayan özel amaçlı modüllerin kullanılması, tehdit aktörlerinin araç setini maksimum gizliliğe doğru ilerletmeye olan bağlılığını gösteriyor” dedi ve “Çin casusluk amaçlı kötü amaçlı yazılım cephaneliğinin sürekli bakımının ve daha da geliştirilmesinin altını çiziyor” dedi. .”
Saldırılar, hedef ağlara herhangi bir implant yerleştirilmeden önce tespit edilen ve engellenen ihlallerle nihayetinde başarısız oldu.
Galyum ile ilgili önceki araştırmalar, taktiksel benzerlikler [PDF] APT10 (diğer adıyla Bronze Riverside, Potassium veya Stone Panda), APT27 (Bronz Birliği, Emissary Panda veya Lucky Mouse olarak da bilinir) ve APT41 (Barium, Bronze Atlas veya Wicked Panda olarak da bilinir) gibi birden fazla Çin ulus-devlet grubu ile.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
Bu, bir kez daha Çin devlet destekli tehdit aktörleri arasında kapalı kaynak araç paylaşımının işaretlerine işaret ediyor ve araç setinin bakımı ve dağıtımından sorumlu bir “dijital malzeme sorumlusu” olasılığından bahsetmiyorum bile.
Bulgular, BackdoorDiplomacy ve WIP26 da dahil olmak üzere diğer çeşitli bilgisayar korsanlığı gruplarının gözlerini Orta Doğu bölgesindeki telekom servis sağlayıcılarına diktiklerinin ortaya çıkmasıyla ortaya çıktı.
“Bunların ikisi de tamamen alakasız [Soft Cell] SentinelOne’daki SentinelLabs’in kıdemli direktörü Juan Andres Guerrero-Saade (JAG-S), The Hacker News’e şunları söyledi: “Çinli görevlilerin bu dikeyleri hedeflemeye verdiği önemi daha iyi anlatıyor.”
“CN operasyonları, birden fazla tehdit grubunun genellikle aynı hedeflere koordinasyonsuz bir şekilde saldırması gibi neredeyse gereksiz bir tarz sergiliyor. Birden fazla CN tehdit grubunun (farkında olmadan mı?) aynı kurban ortamında birlikte yaşaması alışılmadık bir durum değil.”
Araştırmacılar, “Çin siber casusluk tehdit aktörlerinin Orta Doğu’da stratejik çıkarları olduğu biliniyor.”
“Bu tehdit aktörleri, kamuya açık kodu entegre etmek ve değiştirmek de dahil olmak üzere, tespitten kaçmak için yeni tekniklerle araçlarını keşfetmeye ve yükseltmeye neredeyse kesinlikle devam edecek.”