Güneydoğu Asya’daki adı açıklanmayan yüksek profilli bir hükümet kuruluşu, kod adı “karmaşık, uzun süredir devam eden” Çin devleti destekli bir siber casusluk operasyonunun hedefi olarak ortaya çıktı. Kızıl Saray.
Sophos araştırmacıları Paul Jaramillo, Morgan Demboski, Sean Gallagher ve Mark Parsons, “Kampanyanın arkasındaki genel amaç, Çin devletinin çıkarlarını desteklemek amacıyla siber casusluk için hedef ağa erişimi sürdürmekti.” söz konusu The Hacker News ile paylaşılan bir raporda.
“Bu, kritik BT sistemlerine erişmeyi, belirli kullanıcıların keşfini gerçekleştirmeyi, hassas askeri ve teknik bilgileri toplamayı ve komuta ve kontrol (C2) iletişimleri için çeşitli kötü amaçlı yazılım implantlarının konuşlandırılmasını içeriyor.”
Hükümet kuruluşunun adı açıklanmadı ancak şirket, ülkede tekrarlanan çatışma toprakları üzerinde Çin ile Güney Çin DeniziBu da geçmişte Mustang Panda gibi Çin devleti destekli grupların hedef aldığı bölgenin Filipinler olabileceği ihtimalini artırıyor.
Kızıl Saray şunları içerir: üç izinsiz giriş kümesiMart 2022’ye kadar uzanan daha eski faaliyetlere dair kanıtlar olmasına rağmen bazıları aynı taktikleri paylaşıyor –
- Küme Alfa (Mart 2023 – Ağustos 2023), BackdoorDiplomacy, REF5961, Worok ve TA428 olarak takip edilen aktörlerle bir dereceye kadar benzerlik sergiliyor
- Bravo Kümesi (Mart 2023), Solmayan Deniz Haze’yle ortak yönleri olan ve
- Küme Charlie (Mart 2023 – Nisan 2024), APT41’in bir alt grubu olan Earth Longzhi ile örtüşüyor
Sophos, bu örtüşen faaliyet kümelerinin muhtemelen tek bir kuruluşun yönetimi altındaki koordineli bir kampanyanın parçası olduğunu değerlendirdi.
Saldırı, PocoProxy gibi belgelenmemiş kötü amaçlı yazılımların yanı sıra EAGERBEE’nin güncellenmiş bir sürümünün yanı sıra NUPAKAGE, PowHeartBeat, RUDEBIRD, DOWNTOWN (PhantomNet) ve EtherealGh0st (aka CCoreDoor) gibi bilinen diğer kötü amaçlı yazılım ailelerinin kullanımı açısından dikkate değerdir.
Kampanyanın diğer ayırt edici özellikleri arasında DLL yan yüklemesinin yoğun kullanımı ve radardan uzak kalmak için alışılmadık taktikler yer alıyor.
“Tehdit aktörleri, Sophos AV aracı sürecini çekirdekten çıkarmak için bellekteki DLL’nin üzerine yazmak, AV yazılımını yan yükleme için kötüye kullanmak ve yüklerini yürütmek için en verimli ve kaçamak yöntemleri test etmek için çeşitli teknikler kullanmak gibi birçok yeni kaçırma tekniğinden yararlandı. ” dedi araştırmacılar.
Daha ayrıntılı araştırmalar, Cluster Alpha’nın sunucu alt ağlarını eşlemeye, yönetici hesaplarını numaralandırmaya ve Active Directory altyapısı üzerinde keşif yürütmeye odaklandığını, Cluster Bravo’nun yanal hareket için geçerli hesapların kullanımına öncelik verdiğini ve EtherealGh0st’i bıraktığını ortaya çıkardı.
En uzun süre boyunca gerçekleştirilen Cluster Charlie ile ilgili etkinlik, tehlikeye atılan sistemlerde kalıcılık sağlamak için PocoProxy’nin kullanılmasını ve Cobalt Strike’ı gerçekleştirmek için Çin’deki birçok aktör tarafından kullanılan özel bir yükleyici olan HUI Loader’ın konuşlandırılmasını gerektirdi.
Araştırmacılar, “Gözlemlenen kümeler, ortak hedeflerle birlikte çalışan iki veya daha fazla farklı aktörün operasyonlarını yansıtıyor” dedi. “Gözlemlenen kümeler, çok çeşitli araçlara, çeşitli altyapıya ve birden fazla operatöre sahip tek bir grubun çalışmasını yansıtıyor.”
Açıklama, siber güvenlik firması Yoroi’nin APT41 aktörü (diğer adıyla Brass Typhoon, HOODOO ve Winnti) tarafından KEYPLUG olarak bilinen PlugX (diğer adıyla Destroy RAT ve Korplug) kötü amaçlı yazılımının bir çeşidiyle İtalya’daki kuruluşları hedef alan ayrıntılı saldırıları sonrasında geldi.
“C++ ile yazılan ve en az Haziran 2021’den beri aktif olan KEYPLUG’ın hem Windows hem de Linux platformları için çeşitleri var.” Yoroi söz konusu. “HTTP, TCP, UDP üzerinden KCP ve WSS dahil olmak üzere komuta ve kontrol (C2) trafiği için birden fazla ağ protokolünü destekliyor ve bu da onu APT41’in siber saldırı cephaneliğinde güçlü bir araç haline getiriyor.”
Bu aynı zamanda Kanada Siber Güvenlik Merkezi’nin hükümete, kritik altyapıya ve araştırma ve geliştirme sektörlerine sızmayı amaçlayan Çin devlet destekli bilgisayar korsanlığından kaynaklanan saldırıların arttığına dair uyarısını da takip ediyor.
“[People’s Republic of China] siber tehdit faaliyeti, hacim, karmaşıklık ve hedeflemenin genişliği açısından diğer ulus devlet siber tehditlerini geride bırakıyor.” söz konususiber tehdit faaliyeti yürütmek ve tespit edilmekten kaçınmak için güvenliği ihlal edilmiş küçük ofis ve ev ofisi (SOHO) yönlendiricilerini ve arazide yaşama tekniklerini kullanmalarına dikkat çekiyor.
