Kasım 2024’te isimsiz bir Asyalı yazılım ve hizmet şirketini hedefleyen bir RA World Fidye Yazılımı Saldırısı, sadece Çin merkezli siber casusluk grupları tarafından kullanılan kötü amaçlı bir aracın kullanımını içeriyordu ve tehdit oyuncusunun bir bireyde fidye yazılım oyuncusu olarak ay ışığı olma olasılığını artırdı. kapasite.
Broadcom’un bir parçası olan Symantec Tehdit Hunter ekibi, “2024’ün sonlarında saldırı sırasında saldırgan, daha önce Çin bağlantılı bir aktör tarafından klasik casusluk saldırılarında kullanılan farklı bir araç seti kullandı.” söz konusu Hacker News ile paylaşılan bir raporda.
Diyerek şöyle devam etti: “Araç setini içeren önceki tüm müdahalelerde, saldırgan klasik casuslukla uğraşıyor gibi görünüyordu, görünüşe göre sadece backdoors kurarak hedeflenen kuruluşlarda kalıcı bir varlığı sürdürmekle ilgileniyor.”
Bu, Mustang Panda (aka Fireant ve Redelta) aktör tarafından tekrar tekrar kullanılan bir kötü amaçlı yazılım olan Plugx (diğer adıyla Korplug) dağıtmak için klasik DLL yan yükleme tekniklerinin kullanımını içeren bir ülkenin Dışişleri Bakanlığı’nın uzlaşmasını içeriyordu. .
Özellikle, saldırı zincirleri, “toshdpdb.exe” adlı meşru bir Toshiba yürütülebilir dosyasının, “toshdpapi.dll” adlı kötü niyetli bir DLL’yi kenar yüklemek için kullanmayı gerektirir, bu da şifreli Plugx yükünü yüklemek için bir kanal görevi görür.
Aynı araç setiyle bağlantılı diğer müdahaleler, Ağustos 2024’te Güneydoğu Avrupa ve Güneydoğu Asya’daki iki farklı hükümet varlığını, Eylül 2024’te bir telekom operatörü ve Ocak 2025’te farklı bir Güneydoğu Asya ülkesinde başka bir hükümet bakanlığı ile bağlantılı olarak gözlenmiştir.
Ancak Symantec, Plugx varyantının Kasım 2024’te Güney Asya’daki orta ölçekli bir yazılım ve hizmet şirketine karşı bir suç gasp kampanyasının bir parçası olarak konuşlandırıldığını gözlemledi.
Saldırgan Palo Alto Networks Pan-OS yazılımında (CVE-2024-0012) bilinen bir güvenlik kusurundan yararlanarak bunu iddia etse de, şirketin ağının nasıl tehlikeye atıldığı tam olarak açık değil. Saldırı, makinelerin RA World fidye yazılımı ile şifrelenmesi ile sonuçlandı, ancak Toshiba ikili, Plugx kötü amaçlı yazılımları başlatmak için kullanılmadan önce değil.
Bu noktada, Cisco Talos ve Palo Alto Networks Birimi 42’den önceki analizlerin ortaya çıktığını belirtmek gerekir. Tradecraft çakışıyor RA World (eski adıyla RA Group olarak adlandırılır) ile kısa ömürlü fidye yazılımı aileleri kullanma geçmişine sahip Bronz Starlight (AKA Storm-401 ve İmparator Yapanma) olarak bilinen bir Çin tehdit grubu arasında.
Bir casusluk aktörünün neden finansal olarak motive olmuş bir saldırı yürüttüğü bilinmese de Symantec, yalnız bir aktörün çabanın arkasında olduğunu ve yanda hızlı kazançlar elde etmeye çalıştıklarını teorize etti. Bu değerlendirme aynı zamanda Sygnia’nın Ekim 2022’de “tek tehdit oyuncusu” olarak tanımladığı İmparator Yapanma analizi ile de sıralanıyor.
Bu ay ışığı biçimi, Çin hackleme ekosisteminde nadiren gözlemlenirken, İran ve Kuzey Kore’den gelen tehdit aktörleri arasında çok daha yaygındır.
Google Tehdit İstihbarat Grubu (GTIG), “Finansal olarak motive edilmiş devlet hedeflerini destekleyen bir başka biçimi, ana misyonu devlet destekli casusluk olabilecek gruplardır. söz konusu Bu hafta yayınlanan bir raporda.
Diyerek şöyle devam etti: “Bu, bir hükümetin güçlü yeteneklere sahip grupları korumak için gerekli olan doğrudan maliyetleri dengelemesine izin verebilir.”
Salt Typhoon, telkosları ihlal etmek için savunmasız Cisco cihazlarından yararlanır
Geliştirme, tuz tayfası olarak adlandırılan Çin ulus-devlet hackleme grubunun, Cisco Network cihazlarında bilinen güvenlik kusurlarından (CVE-2023-20198 ve CVE-2023-20273) bir dizi siber saldırıya bağlı olduğu için geliyor. ağlar.
Kötü niyetli siber etkinliğin, önemli bir İngiltere merkezli telekomünikasyon sağlayıcısının, Güney Afrikalı bir telekomünikasyon sağlayıcısının ve bir İtalyan İnternet hizmetinin ve enfekte olmuş Cisco cihazları arasında tespit edilen iletişimlere dayanan büyük bir Tayland telekomünikasyon sağlayıcısının ABD merkezli bir iştirakini seçtiği değerlendirildi. ve tehdit oyuncusu altyapısı.
. saldırı 4 Aralık 2024 ve 23 Ocak 2025 arasında gerçekleşti, kaydedilen Future’s Inker Group, Toprak Ağustosları, Ünlüsparrow, Ghostempor, Redmike ve UNC2286 olarak da takip edilen rakipleri ekleyerek, 1000’den fazla Cisco cihazını küresel olarak kullanmaya çalıştı. zaman aralığı.
Hedeflenen Cisco aletlerinin yarısından fazlası ABD, Güney Amerika ve Hindistan’da bulunmaktadır. Hedefleme odağının genişlemesi gibi görünen tuz tayfası, Arjantin, Bangladeş, Endonezya, Malezya, Meksika, Hollanda, Tayland, ABD ve Vietnam’da bir düzineden fazla üniversiteyle ilişkili cihazlar da gözlenmiştir.
“RedMike, bu üniversiteleri, özellikle UCLA ve TU Delft gibi kurumlarda telekomünikasyon, mühendislik ve teknoloji ile ilgili alanlarda araştırmaya erişmeyi hedefledi.” söz konusu.
Başarılı bir uzlaşmayı, cihazın konfigürasyonunu değiştirmek ve uzlaşmış Cisco cihazları ve altyapıları arasında kalıcı erişim ve veri açığa vurması için genel bir yönlendirme kapsülleme (GRE) tüneli eklemek için yükseltilmiş ayrıcalıkları kullanan tehdit aktörü izler.
Savunmasız ağ cihazlarını hedef mağdurlara giriş puanı olarak kullanmak, Salt Tayfun ve diğer Çin hack grupları için standart bir oyun kitabı haline geldi. Volt Typhoonkısmen güvenlik kontrollerinden yoksun oldukları ve uç nokta tespiti ve yanıt (EDR) çözümleri ile desteklenmedikleri gerçeği nedeniyle.
Bu tür saldırıların sağladığı riski azaltmak için, kuruluşların mevcut güvenlik yamalarını ve güncellemeleri kamuya açık ağ cihazlarına uygulamaya öncelik vermeleri ve özellikle internete yönetimsel arayüzleri veya gerekli olmayan hizmetleri ortaya çıkarmaktan kaçınmaları önerilir. Hayat (EOL).
Güncelleme
Cisco, hikayenin yayınlanmasının ardından Hacker News ile aşağıdaki ifadeyi paylaştı –
Salt tayfun tehdidi aktörlerinin Cisco cihazlarında iOS XE ile ilgili bilinen iki güvenlik açıkından yararlandığını iddia eden yeni raporların farkındayız. Bugüne kadar, bu talepleri doğrulayamadık, ancak mevcut verileri gözden geçirmeye devam ediyoruz. 2023’te, müşterilerin mevcut yazılım düzeltmesini acilen uygulamaya yönelik rehberlik ile birlikte bu güvenlik açıklarını açıklayan bir güvenlik danışma belgesi yayınladık. Müşterilere açıklanan bilinen güvenlik açıklarını yamalarını ve yönetim protokollerini güvence altına almak için endüstrinin en iyi uygulamalarını takip etmelerini şiddetle tavsiye ediyoruz.
