Geçtiğimiz yıl, Çin devletine bağlı üç tehdit kümesi, Güneydoğu Asya’daki yüksek profilli bir hükümet kuruluşundan hassas askeri ve siyasi sırları toplamak için işbirliği yaptı.
Bir Sophos bugün yayınlanan rapor Yeni kötü amaçlı yazılım araçlarını, 15’ten fazla dinamik bağlantı kitaplığı (DLL) yükleme çabasını ve bazı yeni kaçınma tekniklerini içeren “Kızıl Saray Operasyonu” olarak adlandırılan operasyonun yalnızca karmaşıklığını değil, aynı zamanda dikkate değer derecede koordinasyonu da vurguluyor. Üç farklı tehdit kümesi, daha geniş bir saldırı zincirinde, muhtemelen tek bir kuruluşun gözetimi altında, özel görevler gerçekleştirdi.
Bu kadar dikkatli bir ekip çalışması, saldırganların çok sayıda dosya ve e-postayı çalmasına olanak sağladı. Bu dosyalar ve e-postalar, örneğin, hararetle tartışılan Güney Çin Denizi’ne yönelik stratejik yaklaşımları özetleyen belgeleri içeriyordu. Söz konusu kimliği belirsiz hükümet, bu bölge konusunda Çin’le uzun süredir çekişme halinde.
Kızıl Saray Operasyonu
Çin gelişmiş kalıcı tehditlerinin (APT’ler) altyapıyı paylaş Ve zararlı kodancak Kızıl Saray Operasyonu, APT’ler arası işbirliğini yeni boyutlara taşıyor.
Çin bağlantılı tehdit faaliyetinin ilk işaretleri, en azından “Nupakage” veri sızdırma aracının Mart 2022’ye kadar izlenebiliyor. Mustang Panda tarafından geliştirildi (diğer adıyla Bronze President, Camaro Dragon, Earth Preta, Luminous Moth, Red Delta, Stately Taurus) kurban hükümetin ağına yerleştirildi. Daha sonra, Aralık ayında bir saldırgan, hedeflenen etki alanı denetleyicilerine gizlice iki arka kapı dağıtmak için DLL birleştirme işlemi gerçekleştirdi. Bu ilk faaliyet yılının arkasında tam olarak kimin olduğu henüz belli değil.
Kızıl Saray kampanyası ertesi yıl Sophos’un Cluster Alpha adını verdiği ekiple başladı. Alpha, Mart-Ağustos 2023 arasında sunucu alt ağlarını haritalayarak, yönetici hesaplarını not ederek ve Active Directory altyapısını inceleyerek keşif gerçekleştirdi. Eagerbee arka kapısının yeni bir versiyonunu kullanmak da dahil olmak üzere antivirüs korumalarını devre dışı bıraktı. Temsilci Panda (diğer adıyla Demir Kaplan, APT27). Ayrıca kalıcılık oluşturmak, yaygın olmayan LOLbin’lerden ve komuta ve kontrol için en az beş farklı kötü amaçlı yazılım aracından yararlanmak için çeşitli adımlar attı (C2).
Cluster Bravo’nun işi daha hızlıydı. Mart ayında mücadeleye giren ve sadece birkaç hafta sonra ayrılan bu grup, öncelikle hedefin ağında yanal olarak yayılmak için meşru hesapları kullanmaya odaklandı. Bu çabaya yardımcı olmak, C2 iletişimleri kurmak ve kimlik bilgilerini boşaltmanın yanı sıra Bravo, CCoreDoor adı verilen yeni bir arka kapı kurdu.
Son küme Charlie’nin en sıkıntılı olduğu ortaya çıktı. Mart 2023’ten Nisan 2024’e kadar erişim yönetimi konusunda uzmanlaştı; tüm kullanıcıları ve uç noktaları haritalandırmak için ağ üzerinde ping taramaları gerçekleştirdi ve etki alanı denetleyicilerinden kimlik bilgilerini aldı. Ayrıca C2 amaçları için PocoProxy adında yeni bir arka kapı devreye aldı.
En önemlisi, Charlie büyük miktarda veriyi topladı ve sızdırdı. Hükümet ağından toplanan bilgiler arasında, hararetle tartışılan Güney Çin Denizi’ne yönelik stratejik yaklaşımların ana hatlarını çizen belgeler de dahil olmak üzere hassas askeri ve siyasi sırlar yer alıyordu.
Kimin? Kimin umurunda?
Kızıl Saray Operasyonu, bilinen yarım düzine kadar Çinli tehdit aktörüyle örtüşen araçlar ve altyapı içeriyordu. en önemlisi Worok Ve APT41 alt grubu Dünya Longzhi. Sophos araştırmacıları, saldırıyı Çin hükümetine bağlamak için bunu ve casusluğun doğasını kullandılar, ancak belirli bir gruba atfetmeden durdular.
Aslında Kızıl Saray’ı atfetmeye odaklanmanın ona karşı savunma açısından ters etki yaratabileceğini söylüyorlar.
Sophos’un direktörü ve küresel saha CTO’su Chester Wisniewski, “Bunun geçmişte sorunlu olduğunu düşünüyorum; ilişkilendirmeye çok fazla takıntılıyız” diyor. İlişkilendirme, defans oyuncularına hücum oyuncusunun sonraki hamlelerini tahmin edebileceklerini hissettirebilir ancak Crimson Palace’ın da gösterdiği gibi, Wisniewski, “Bir grubun belirli bir konuda gerçekten yetenekli olması, daha sonra tamamen farklı tekniklerin kullanıldığını görmeyeceğiniz anlamına gelmez.” diyor. “Çünkü çalınan kimlik bilgilerini tamamen farklı araç setleri ve tamamen farklı görevlerle başka gruplarla paylaşmış olabilirler.
“Bu düşmanlardan biri tarafından ihlale uğradığınız anda tüm bahisler biter. Bir grup casusluğun peşinde olabilir. Bir diğeri ise casusluk peşinde olabilir. Bir diğeri ise önceden hazırlık yapıyor olabilir. Volt Typhoon tarzı gelecek kesintisi. Bütün bunların gerçekleştiğini varsaymanız gerekir.”