Çin Halk Cumhuriyeti’nin (ÇHC) hizmetinde faaliyet gösteren üç tehdit kümesi, Güneydoğu Asya hükümet kuruluşunun da aralarında bulunduğu en az bir düzine yeni hedefi tehlikeye attı.
Operasyon Kızıl Saray Mart 2023’ten beri varlığını sürdürüyor ancak tehdit aktörlerinin hayatta kalmak için siber güvenlik analistlerine karşı mücadele ettiği 2024’te özellikle aktif oldu. Aslında, ifşa edilmelerine ve aktif olarak avlanmalarına rağmen, Crimson Palace’ın üç kolu Asya’daki kamu ve özel kuruluşlara sızmaya ve Sophos’un yeni bir raporda “Güneydoğu Asya ülkesinin hükümeti içinde önemli bir kurum” olarak tanımladığı kişilerden potansiyel olarak hassas stratejik verileri ve materyalleri çalmaya devam etmeyi başardı.
Ocean’ın Siber Tehdit Dünyasının 11’i
Her soygun filminde, her takım üyesinin kendine özgü bir uzmanlığı olan bir takım vardır. Kaçış sürücünüz, hacker’ınız veya kasa hırsızınız, silah uzmanınız, kaslı adamınız, tatlı dilli dişi tilkiniz vardır.
Crimson Palace Operasyonu siber soygunlar için bu takım tabanlı yaklaşımı kullanır. Tek bir gelişmiş sürekli tehdit (APT) olarak çalışmak yerine, Sophos tarafından Alpha, Bravo ve Charlie olarak izlenen üç bağımsız ekip, daha geniş saldırı zincirinde benzersiz, ancak kısmen örtüşen bir role sahiptir. Bu kurulum, her kümenin belirli görevlere aşırı odaklanmasını ve farklı kümelerin aynı anda farklı uzlaşmalar üzerinde çalışmasını sağlar.
Cluster Alpha genellikle ilk erişimi gerçekleştirir: ağ keşfi ve haritalaması gerçekleştirir, hedeflenen sistemde yatay hareket ederek kalıcılık sağlar, arka kapılar açar, güvenlik yazılımlarını kesintiye uğratır, vb.
Genel olarak konuşursak, Cluster Bravo altyapı uzmanıdır. Hedef ağlarda daha da yerleşir ve yayılır, kötü amaçlı yazılım dağıtımı için alanı hazırlar ve genellikle bir Crimson Palace kurbanını diğerine saldırmak için bir aktarma noktası olarak kullanarak komuta ve kontrol (C2) iletişim kanalları kurar. Ocak ayından Haziran ayına kadar Sophos, Bravo’nun kötü amaçlı yazılım sahneleme amacıyla altyapısını ödünç aldığı bir dizi kuruluşu (bir devlet kurumu dahil) belirledi.
Sophos’ta küresel saha baş teknoloji sorumlusu (CTO) Chester Wisniewski, “Bu, trafiğin zaten görülmesini beklediğiniz yerlerde komuta ve kontrolü gizliyor,” diye açıklıyor. “Birincil telekomünikasyon sağlayıcılarınızdan biriyle doğrudan HTTPS trafiği görürseniz – veya belki de ülkenizdeki insanlarla sıklıkla etkileşimde bulunan başka bir devlet kurumu veya işletme birimiyle – bunun doğru olup olmadığını belirlemek çok daha zor olacaktır. [coming from a malicious] C2, ya da normal ticari faaliyetler söz konusuysa.”
Bravo, Crimson Palace saldırılarında her zaman önemli bir yer tutmasa da, daha yakın tarihli vakalarda hayat buldu. Sophos, hükümet yüklenicileri de dahil olmak üzere en az 11 Asya kuruluşu ve ajansında Bravo aktivitesini yeni tespit etti.
“Alfa Kümesi’nin olması çok olası [and Bravo] Wisniewski, “Neyin peşinde olduklarını bilmiyorlar bile, sadece hedef ortamın bu olduğunu ve hedefin ne olduğunu bilen birinin içeri girmesine izin vermek için kapıyı açık tutmaları gerektiğini biliyorlar” diyor.
Başka birisi de Küme Charlie’dir.
Cluster Charlie: Durdurulamaz Bir Tehdit
Cluster Charlie, sistem erişimini sürdürmek ve hassas verileri dışarı çıkarmak için gereken her şeyden sorumlu olan temizlik vurucusudur. Rolüne uygun olarak, üç kümenin en aktif ve en gelişmişi gibi görünmektedir.
Hikayesi, Ağustos 2023’te araştırmacılarla ilk karşılaşmasının ardından şekillendi. Sophos, özel C2 aracı PocoProxy’yi engelledikten sonra, Charlie kümesi birkaç hafta sessiz kaldı. Sonra, Eylül ayından başlayarak ve o zamandan beri, rakiplerinin engellediği her biri için sürekli olarak yeni bir taktik, teknik veya prosedürle (TTP) geri döndü.
Özel kötü amaçlı yazılımının engellenmesine yanıt olarak Charlie, açık kaynak topluluğuna yöneldi ve C2 (örneğin Cobalt Strike), kabuk kodu yükleme (örneğin Donut) için en az 11 araçtan yararlandı. EDR yazılımının atlatılması (örn. RealBindingEDR) ve daha fazlası. “Ortama özel C2 erişimleri olduğunda ve biz bunu başarıyla engellediğimizde, bazı açık kaynaklı araçlara yöneldiler,” diye hatırlıyor Wisniewski. “Ve sonra bu işe yaramayınca, yeni özel araçlarla geri döndüler.”
Charlie’nin yaratıcılığı en çok kötü amaçlı yazılım dağıtım araçlarında ortaya çıktı. Geçtiğimiz Kasım ile bu geçen Mayıs arasındaki dönemde Charlie, yan yükleme zincirleri, yürütme yöntemleri ve kabuk kodu yükleyicilerinin en az 28 benzersiz kombinasyonunu kullanarak C2 implantları dağıttı. Şubat ayı boyunca birçok kez grup, hangi yöntemin en iyi işe yarayacağını test etmek için kötü amaçlı dosyalarını biraz farklı araçlar kullanarak dağıtarak bir tür A/B testi bile gerçekleştirdi.
Wisniewski’nin uyardığı gibi, “Eğer onların istediği bir şeye sahipseniz – ağa nasıl saldırdıklarına dair mevcut yaklaşımlarını çözmede başarılı olsanız bile – durmayacaklardır. Yenilik yapmaya ve yinelemeye devam edeceklerdir.”