Çin devletine bağlı bir tehdit grubu, 2022’nin sonlarından bu yana günlük olarak Orta Doğu, Afrika ve Güneydoğu Asya’daki üst düzey hükümet ve askeri hedeflerden e-posta ve dosya sızdırıyor.
Diplomatic Spectre Operasyonu, küstah bir casusluk kampanyası yeni bir raporda açıklandı Palo Alto Networks’ün Birim 42’si tarafından üç kıtada en az yedi ülkedeki dışişleri bakanlıkları, askeri kuruluşlar, elçilikler ve daha fazlasını hedef alıyor. Amacı, jeopolitik çatışmalar, diplomatik ve ekonomik misyonlar, askeri operasyonlar, siyasi toplantılar ve zirveler, üst düzey politikacılar ve askeri personel ve hepsinden önemlisi büyükelçilikler ve dışişleri bakanlıkları hakkında gizli ve hassas bilgiler elde etmektir.
Kampanya devam ediyor ve saldırganlar, açığa çıktıktan ve ele geçirilen ağlardan başlatıldıktan sonra bile casusluğa devam etme isteklerini zaten gösterdiler.
Diplomatik Hayaletin Araçları
Diplomatic Spectre saldırıları Web sunucularını ve Microsoft Exchange sunucularını hedef alarak başlar. Saldırganlar, internete açık bu varlıklardan, 3 yıllık iki kritik güvenlik açığını kullanarak yararlanıyor: ProxyOturum AçmaVe ProxyShell — ve bellek içi VBScript implantları.
İlk erişime sahip olan grup, toplam 16 kötü amaçlı araçtan yararlandı. Bazıları, Windows için bir ayrıcalık yükseltme aracı olan nbtscan tarama aracı JuicyPotatoNG ve kimlik bilgisi hırsızlığı için Mimikatz gibi yaygın açık kaynaklı programlardır. Saldırganların kaba zorlama, tarama, etkileşimli kabuk, isteğe bağlı komut yürütme ve daha fazlası için kullanabileceği nispeten yeni ve güçlü bir Çin kalem testi aracı olan Yasso gibi bazıları daha benzersizdir. Tehdit aktörlerinin daha önce vahşi doğada Yasso’yu kullandığı kaydedilmemişti.
Diplomatic Spectre ayrıca bazı kötü şöhretli Çin kötü amaçlı yazılım ailelerinden de yararlanıyor: FişX Ve Çin helikopteri. En önemlisi, Gh0st RAT’ı hem hedeflenen sistemlerde sağlam bir yer edinmek için hem de Diplomatic Spectre’nin kendi özel arka kapıları için bir ilham kaynağı olarak kullanıyor.
İlk olarak, SweetSpecter’ın yeni bir çeşidi var. 2023’te yeniden ortaya çıkan Gh0st RAT, büyük ölçüde etkili komuta ve kontrol (C2) iletişimi için tasarlanmıştır. Ayrıca, C2 tünellemeye ek olarak kurban makinelerin parmak izlerini alan ve keyfi komut yürütmeye olanak tanıyan TunnelSpecter var. TunnelSpecter, Windows’un Uzaktan Yardım özelliğiyle ilişkili SUPPORT_388945a0 varsayılan hesabını taklit etmeye yönelik açık yüzlü bir girişim olan SUPPORT_388945c0 kullanıcı adıyla sabit kodlanmıştır.
Tüm bunların amacı, Diplomatic Spectre’ın hassas e-postaları ve dosyaları sessizce sızdırmaya başlayacağı yüksek değerli bir hedefin e-posta gelen kutusuna ulaşmaktır. Bazen grup, kurbanın tüm gelen kutusunu sızdırıyor. Diğer zamanlarda, Çin Halk Cumhuriyeti’ni ilgilendiren konuları (askeri veriler, telekomünikasyon ve enerji bilgileri, Xi Jinping, Joe Biden ve diğer siyasi liderlerle ilgili materyaller vb.) filtrelemek için anahtar kelime aramaları kullanmak daha spesifiktir.
Katmanlı Savunma Durumu
Diplomatik Hayalet’e karşı savunma, İnternet’e yönelik varlıklara yama uygulayarak veya bunları başka şekilde güçlendirerek ilk erişim araçlarının engellenmesiyle başlar. Sonuçta, çok önemli kurbanların, herhangi bir saldırı meydana gelmeden uzun bir süre önce kamuoyunun bildiği güvenlik açıklarına maruz kaldığı görülüyor.
Palo Alto Networks’ün Cortex tehdit araştırması direktörü Assaf Dahan, bundan sonra her şeyin derinlemesine savunmayla ilgili olduğunu söylüyor.
“Dünyanın her yerinde iyi siber hijyen uygulamayan organizasyonlar görüyoruz ve bilgisayar korsanlarının içeri girmesi için büyük pencereler bırakıyorlar” diyor. “[You need] alabileceğiniz tüm güvenlik katmanları: iyi ağ izleme, tespit ve yanıt, bulut e-posta çözümleri.
“Yeterince çit ördüğünüzde, kötü aktörlerin ağınıza girmesi gerçekten zorlaşıyor.”