Çin bağlantılı muhtemel bir tehdit aktörü, Rusya’daki hükümet kuruluşlarını hedef alan yeni bir siber casusluk kampanyasında Dropbox, GitHub, Quora ve Yandex gibi popüler bulut hizmetlerini komuta ve kontrol (C2) sunucuları olarak kullanıyor.
Kaspersky araştırmacıları, kötü amaçlı kısayol ekleri içeren kimlik avı e-postaları yoluyla enfekte olan cihazları incelerken ortaya çıkardıkları kampanyayı “EastWind” adıyla takip ediyor.
Dropbox’ta Barındırılan C2 Sunucuları
Kaspersky’nin analizi, kötü amaçlı yazılımın Dropbox’taki bir C2 sunucusuyla iletişim kurduğunu ve buradan komutlar aldığını gösterdi. Araştırmacılar ayrıca saldırganların, enfekte olmuş sistemlere iki farklı Çin destekli grupla (APT31 ve APT27) ilişkili ek kötü amaçlı yazılımları indirmek için ilk yükü kullandığını buldu. Ayrıca, tehdit aktörü, ‘BulutBüyücüsü,Kaspersky’nin bu yılın başlarında Rus hükümet kurumlarını hedef alan saldırılarda tespit ettiği, aynı isimli yeni bir grubun kullandığı gelişmiş bir siber casusluk aracı.
Kaspersky, EastWind saldırısında farklı tehdit aktörlerine ait araçların kullanılmasını, APT gruplarının sıklıkla birbirleriyle işbirliği yapıp kötü amaçlı yazılım araçlarını ve bilgilerini paylaştığının bir işareti olarak algıladı.
Kaspersky araştırmacıları, “Hükümet kuruluşlarına yönelik saldırılarda, tehdit aktörleri genellikle çok çeşitli teknikler ve taktikler uygulayan araç takımlarını kullanırlar” dedi. blog yazısı bu hafta. “Bu araçları geliştirirken, ağ trafiğindeki kötü amaçlı faaliyetleri gizlemek için mümkün olan en büyük çabayı sarf ediyorlar.”
APT31, ABD yetkililerinin Wuhan’daki Çin Devlet Güvenlik Bakanlığı adına çalıştığını tespit ettiği gelişmiş bir kalıcı tehdit grubudur. Bu yılın başlarında, ABD Adalet Bakanlığı grubun yedi üyesini suçladı 14 yıl boyunca dünya çapında binlerce kuruluşu mağdur eden siber casusluk kampanyalarındaki rolleri nedeniyle. MandiantAPT31’i izleyen birkaç güvenlik satıcısından biri olan , tehdit aktörünün misyonunu Çin’e ekonomik, askeri ve politik fayda sağlayabilecek rakip uluslardan bilgi toplamak olarak tanımladı. Grubun en sık hedefleri arasında hükümet ve finans kuruluşları, havacılık şirketleri ve savunma, telekomünikasyon ve yüksek teknoloji sektörlerindeki kuruluşlar yer aldı.
APT27veya Emissary Panda, Çin’in hayati stratejik çıkar olarak algıladığı sektörlerdeki kuruluşlardan fikri mülkiyet hırsızlığı yapan Çin bağlantılı bir başka hedeftir. APT31 gibi, grup ilk erişim için kimlik avı e-postaları aracılığıyla iletilen kötü amaçlı yazılımlara büyük ölçüde güvenmiştir.
Kaspersky, Rus hükümet birimlerini hedef alan yeni EastWind saldırısıyla ilgili olarak her iki grubu da özel olarak ilişkilendirmedi ancak saldırılarda her iki grubun da zararlı yazılımlarını kullandığını gözlemlediğini belirtti.
Farklı Çin-Bağlantı Aktörlerinden Araçlar
Kaspersky, EastWind’in arkasındaki tehdit aktörünün kampanyasında kullandığı APT31 kötü amaçlı yazılımına, APT31’in en az 2021’den beri kullandığı bir Truva Atı olan “GrewApacha” adını verdi. Güvenlik satıcısı, EastWind kampanyasının arkasındaki tehdit aktörünün, enfekte olmuş sistemler hakkında bilgi toplamak ve bunlara ek kötü amaçlı yükler yüklemek için GrewApacha’yı kullandığını gözlemledi. Bu arada saldırgan, saldırganın manuel olarak yürüttüğü bir arka kapı olan yukarıda belirtilen CloudSorcerer’ı, APT27 ile örtüşen kodlu bir implant olan PlugY’yi indirmek için kullanıyordu.
Kaspersky, implantın TCP ve UDP protokolleri ve adlandırılmış kanallar (işlemler arası iletişim için bir Windows yöntemi) aracılığıyla Dropbox’ta barındırılan C2 sunucularıyla iletişim kurduğunu buldu. Kaspersky, “Bu implantın işleyebileceği komut seti oldukça kapsamlıdır ve uygulanan komutlar dosyaları düzenlemekten ve kabuk komutlarını yürütmekten tuş vuruşlarını kaydetmeye ve ekranı veya panoyu izlemeye kadar uzanır,” dedi.
