Çin merkezli olduğundan şüphelenilen bir tehdit aktörünün, en az Ekim 2023’ten bu yana Güneydoğu Asya’daki yüksek profilli kuruluşları hedef alan bir dizi siber saldırıyla bağlantısı olduğu belirlendi.
Casusluk kampanyası, iki farklı ülkedeki hükümet bakanlıklarını kapsayan çeşitli sektörlerdeki kuruluşları, bir hava trafik kontrol kuruluşunu, bir telekom şirketini ve bir medya kuruluşu olan Symantec Tehdit Avcısı Ekibini hedef alıyordu. söz konusu The Hacker News ile paylaşılan yeni bir raporda.
Daha önce Çin merkezli gelişmiş kalıcı tehdit (APT) gruplarıyla bağlantılı olduğu belirlenen araçları kullanan saldırılar, hem açık kaynak hem de arazide yaşama (LotL) tekniklerinin kullanılmasıyla karakterize ediliyor.
Buna Rakshasa ve Stowaway gibi ters proxy programlarının yanı sıra varlık keşif ve tanımlama araçları, tuş kaydediciler ve şifre çalan yazılımlar da dahildir. Saldırılar sırasında ayrıca, çeşitli Çinli bilgisayar korsanlığı grupları tarafından kullanıma sunulan bir uzaktan erişim truva atı olan PlugX (diğer adıyla Korplug) da kullanıldı.
Symantec, “Tehdit aktörleri ayrıca kimlik doğrulama mekanizması filtreleri görevi gören özelleştirilmiş DLL dosyaları da yükleyerek oturum açma kimlik bilgilerini ele geçirmelerine olanak tanıyor” diye yazdı. Broadcom’un sahibi olduğu şirket The Hacker News’e, saldırıların hiçbirindeki ilk enfeksiyon vektörünü belirleyemediğini söyledi.
Bir varlığı hedef alan ve Haziran ile Ağustos 2024 arasında üç ay süren saldırılardan birinde, saldırgan, keşif ve şifre boşaltma faaliyetleri gerçekleştirirken, aynı zamanda bir keylogger kuruyor ve kullanıcı oturum açma bilgilerini yakalayabilen DLL yüklerini çalıştırıyordu.
Symantec, saldırganların ele geçirilen ağlara uzun süre boyunca gizli erişim sağlamayı başardıklarını, bu sayede parolaları toplamalarına ve ilgilendikleri ağları haritalandırmalarına olanak sağladığını belirtti. Toplanan bilgiler WinRAR kullanılarak şifre korumalı arşivlere sıkıştırıldı ve ardından File.io gibi bulut depolama hizmetlerine yüklendi.
Şirket, “Bu uzatılmış bekleme süresi ve hesaplı yaklaşım, tehdit aktörlerinin karmaşıklığını ve kararlılığını vurguluyor” dedi. “Hedeflenen kuruluşların coğrafi konumu ve daha önce Çin merkezli APT gruplarıyla bağlantılı araçların kullanımı, bu faaliyetin Çin merkezli aktörlerin işi olduğunu gösteriyor.”
Bu saldırıların belirli bir Çinli tehdit aktörüne atfedilmesindeki belirsizliğin, sıklıkla araç paylaşan ve benzer ticari yöntemleri kullanan siber casusluk gruplarını takip etmenin zorluğunu vurguladığını belirtmekte fayda var.
Güneydoğu Asya’daki jeopolitik gerginlikler devam ediyor toprak anlaşmazlıkları Güney Çin Denizi’ndeki saldırılara, Solmayan Deniz Haze, Mustang Panda, CeranaKeeper ve Kızıl Saray Operasyonu olarak takip edilen tehdit faaliyeti gruplarının da gösterdiği gibi, bölgeyi hedef alan bir dizi siber saldırı da eklendi.
Bu gelişme, SentinelOne SentinelLabs ve Tinexta Cyber’in, Çin bağlantılı bir siber casusluk grubu tarafından Dijital Göz Operasyonu adı verilen bir faaliyet kümesinin parçası olarak Güney Avrupa’daki büyük işletmeler arası BT hizmet sağlayıcılarını hedef alan saldırıları ifşa etmesinden bir gün sonra gerçekleşti.
Geçen hafta Symantec ayrıca, adı açıklanmayan büyük bir ABD kuruluşunun Nisan ve Ağustos 2024 arasında olası Çinli tehdit aktörleri tarafından ihlal edildiğini, bu süre zarfında ağ üzerinde yanal olarak hareket ederek birden fazla bilgisayarın güvenliğini tehlikeye attığını ve potansiyel olarak veri sızdırdığını ortaya çıkardı.