Çin bağlantılı iki gelişmiş kalıcı tehdit (APT) grubunun, son üç aydaki siber casusluk kampanyasının bir parçası olarak Güneydoğu Asya Ülkeleri Birliği’ne (ASEAN) bağlı kuruluşları ve üye ülkeleri hedef aldığı gözlemlendi.
Buna yakın zamanda bağlantılı olduğu Mustang Panda olarak bilinen tehdit aktörü de dahildir. Myanmar’a siber saldırı diğer Asya ülkelerinin yanı sıra PlugX’in (diğer adıyla Korplug) DOPLUGS adı verilen bir arka kapısı var.
Camaro Dragon, Earth Preta ve Stately Taurus olarak da adlandırılan Mustang Panda’nın Myanmar, Filipinler, Japonya ve Singapur’daki varlıkları iki kötü amaçlı yazılım paketi sunmak üzere tasarlanmış kimlik avı e-postalarıyla hedef aldığına inanılıyor.
Palo Alto Networks Unit 42, “Tehdit aktörleri, ASEAN-Avustralya Özel Zirvesi’ne (4-6 Mart 2024) denk gelecek şekilde 4-5 Mart 2024’te bu paketler için kötü amaçlı yazılım oluşturdu.” söz konusu The Hacker News ile paylaşılan bir raporda.
Kötü amaçlı yazılım paketlerinden biri, içinde yürütülebilir bir dosya (“Talking_Points_for_China.exe”) içeren bir ZIP dosyasıdır; başlatıldığında bir DLL dosyası (“KeyScramblerIE.dll”) yükler ve sonuçta PUBLOAD adı verilen bilinen bir Mustang Panda kötü amaçlı yazılımını dağıtır. Daha önce PlugX’i bırakmak için kullanılan indirici.
Burada ikili dosyanın KeyScrambler.exe adı verilen ve DLL tarafından yüklemeye açık meşru bir yazılımın yeniden adlandırılmış bir kopyası olduğunu belirtmekte fayda var.
Öte yandan ikinci paket, WindowsUpdate olarak yeniden adlandırılan bir video oyun şirketi tarafından imzalanan zararsız bir program da dahil olmak üzere uzak bir IP adresinden sonraki aşamadaki kötü amaçlı kodu almak için kullanılan çalıştırılabilir bir ekran koruyucudur (“Note PSO.scr”). exe ve daha önce olduğu gibi aynı teknik kullanılarak başlatılan sahte bir DLL.
“Bu kötü amaçlı yazılım daha sonra www ile bağlantı kurmaya çalışıyor[.]açıksunucuadı[.]146.70.149 adresinden iletişim kurun[.]Araştırmacılar, komuta ve kontrol için 36 (C2) dedi.
Birim 42, ASEAN’a bağlı bir kuruluş ile ikinci bir Çinli APT grubunun C2 altyapısı arasındaki ağ trafiğini de tespit ettiğini ve bunun kurbanın ortamının ihlal edildiğini öne sürdüğünü söyledi. Bu isimsiz tehdit faaliyeti kümesi, Kamboçya’yı hedef alan benzer saldırılarla ilişkilendiriliyor.
Araştırmacılar, “Bu tür kampanyalar, ulus devlete bağlı tehdit gruplarının bölgedeki jeopolitik çıkarlara ilişkin istihbarat topladığı kuruluşların siber casusluk amacıyla nasıl hedef alındığını göstermeye devam ediyor” dedi.
Earth Krahang Vahşi Doğada Ortaya Çıkıyor
Bulgular, Trend Micro’nun, PlugX gibi özel kötü amaçlı yazılımlar sunmak için hedef odaklı kimlik avı ve halka açık Openfire ve Oracle sunucularındaki kusurlardan yararlanarak 35 ülkeye yayılan 116 kuruluşu hedef alan Earth Krahang olarak bilinen yeni bir Çinli tehdit aktörüne ışık tutmasından bir hafta sonra geldi. , ShadowPad, ReShell ve DinodasRAT (diğer adıyla XDealer).
En eski saldırılar 2022’nin başlarına kadar uzanıyor; saldırgan, hassas verileri taramak için çeşitli yöntemlerden yararlanıyor.
Güneydoğu Asya’ya güçlü bir şekilde odaklanan Earth Krahang, aynı zamanda Çin bağlantılı başka bir tehdit aktörüyle de bir miktar örtüşme sergiliyor. Dünya Lusca (diğer adıyla RedHotel). Her iki izinsiz giriş seti de muhtemelen aynı tehdit aktörü tarafından yönetiliyor ve I-Soon adlı bir Çin hükümeti yüklenicisine bağlı.
“Tehdit aktörlerinin en sevdiği taktiklerden biri, diğer devlet kurumlarına saldırmak için devlet altyapısına kötü niyetli erişimini kullanmak, kötü amaçlı yükleri barındırmak için altyapıyı kötüye kullanmak, proxy saldırı trafiği ve güvenliği ihlal edilmiş devlet e-posta hesaplarını kullanarak devletle ilgili hedeflere hedef odaklı kimlik avı e-postaları göndermektir. ,” şirket söz konusu.
“Earth Krahang ayrıca kurbanların özel ağına erişim sağlamak için halka açık sunucularda VPN sunucuları oluşturmak ve e-posta kimlik bilgilerini elde etmek için kaba kuvvet saldırıları gerçekleştirmek gibi başka taktikler de kullanıyor. Bu kimlik bilgileri daha sonra kurban e-postalarını sızdırmak için kullanılıyor.”
I-Soon Sızıntıları ve Gölgeli Kiralık Hack Sahnesi
Geçen ay bir takım sızdırılan belgeler GitHub’da I-Soon’dan (aka Anxun) açıklığa kavuşmuş şirketin nasıl sattığı çok çeşitli hırsızlar ve uzaktan erişim truva atları ShadowPad ve Winnti (diğer adıyla TreadStone) gibi birçok Çin devlet kurumuna. Bu aynı zamanda saldırgan siber kampanyaları yürütmek için tasarlanmış entegre bir operasyon platformunu ve Hector kod adlı belgelenmemiş bir Linux implantını da kapsıyor.
Bishop Fox, “Entegre operasyon platformu hem dahili hem de harici uygulamaları ve ağları kapsıyor” söz konusu. “Dahili uygulama esas olarak görev ve kaynak yönetimine yöneliktir. Harici uygulama ise siber operasyonları yürütmek için tasarlanmıştır.”
Gizli kiralık hack varlığı da karışmış Tibetli grupları hedef alan 2019 ZEHİRLİ SARP kampanyasında ve Comm100’ün 2022 hacklenmesinde, değerli bilgiler elde etmek amacıyla yabancı hükümetleri ve yerli etnik azınlıkları hedef alan saldırılarda, bunların bir kısmı bağımsız olarak kendi başlarına gerçekleştirilen saldırılarda, bir devlet müşterisine ulaşmak.
ReliaQuest, “Veri sızıntısı, Çin hükümetinin siber operasyonlarının bir kısmını özel üçüncü taraf şirketlere nasıl yaptırdığına ve bu şirketlerin bu talepleri yerine getirmek için birbirleriyle nasıl çalıştıklarına dair nadir bilgiler sağladı.” kayıt edilmiş.
Siber güvenlik firması Recorded Future, kendi analizisızıntının şirket ile RedAlpha (diğer adıyla Deepcliff), RedHotel ve POISON CARP gibi Çin devleti destekli üç farklı siber grup arasındaki “operasyonel ve organizasyonel bağları” ortaya çıkardığını söyledi.
“Çin devleti destekli birden fazla gruba yetenek sağlayan ‘dijital malzeme sorumlularının’ uzun süredir şüphelenilen varlığına ilişkin destekleyici kanıtlar sağlıyor.”
Ayrıca örtüşmelerin, aynı şirket içinde belirli görevlere odaklanan birden fazla alt ekibin varlığına işaret ettiği belirtildi. I-Soon’un mağduriyet ayak izi en az 22 ülkeye yayılıyor; hükümet, telekomünikasyon ve eğitim en çok hedeflenen sektörleri temsil ediyor.
Ayrıca, kamuya açıklanan belgeler, Çin’in Pwn2Own hackleme yarışmasına katılımı olan Tianfu Cup’ın hükümet için bir “zafiyet besleyici sistemi” görevi gördüğünü ve hükümetin sıfır gün açıklarından yararlanmasını stoklamasına ve yararlanma kodu tasarlamasına olanak tanıdığını doğruluyor.
Margin Research, “Tianfu Kupası gönderimleri halihazırda tam bir yararlanma zinciri olmadığında, Kamu Güvenliği Bakanlığı, bu kavram kanıtlama yeteneklerinden daha fazla yararlanmak için kavram kanıtını özel firmalara açık olarak dağıtıyor.” söz konusu.
“Çin’in güvenlik açığını açıklama gerekliliği, Çin’in güvenlik açıklarını nasıl stokladığı ve silah haline getirdiğine ilişkin bulmacanın bir parçası ve Tianfu Cup’ın önceki yıllarda sunduğu gizli koleksiyonu sağlamlaştırıyor.”
I-Soon’un iki çalışanı olmasına rağmen sızıntının kaynağı henüz bilinmiyor. söylenmiş Associated Press, kolluk kuvvetleriyle işbirliği içinde bir soruşturmanın sürdüğünü bildirdi. Şirketin İnternet sitesi o zamandan beri çevrimdışı oldu.
SentinelOne’dan Dakota Cary ve Aleksandar Milenkoski, “Sızıntı bugüne kadar kamuya açık olarak görülen en somut ayrıntılardan bazılarını sunarak Çin’in siber casusluk ekosisteminin olgunlaşan doğasını ortaya koyuyor.” söz konusu. “Hükümetin hedefleme gereksinimlerinin, bağımsız yüklenici kiralık bilgisayar korsanlarından oluşan rekabetçi bir pazarı nasıl yönlendirdiğini açıkça gösteriyor.”