Mustang Panda: Siber İstihbarat Faaliyetleri ve Tibet Toplumu
Son günlerde, Mustang Panda adıyla bilinen, Çin ile bağlantılı bir siber tehdit aktörünün yeni bir siber istihbarat kampanyası gerçekleştirdiği görüldü. Bu kampanyanın hedefi, özellikle Tibet toplumu oldu. Seçilen konular arasında, Tibet’le ilgili düzenlenen 9. Dünya Parlamenterler Konvansiyonu (WPCT), Çin’in Tibet Özerk Bölgesi’ndeki eğitim politikaları ve 14. Dalai Lama tarafından yayımlanan yeni bir kitap yer alıyor. Bu saldırılar, IBM X-Force tarafından rapor edildi.
Saldırı Stratejileri ve Yöntemleri
Saldırı zincirleri, Tibet temalı içerikler kullanarak bir zararlı arşiv dağıtmayı amaçlıyor. Bu arşiv, masum görünen bir Microsoft Word dosyası, Tibetli web sitelerinden alınan makaleler ve WPCT fotoğraflarını içeriyor. Kullanıcı, dosyayı açtığında, görünürde bir belge olan çalıştırılabilir bir dosya devreye giriyor.
Geçmiş Mustang Panda saldırılarında gözlemlenen yöntemlerle, bu dosya DLL yan yükleme tekniğini kullanarak, Claimloader adında bir zararlı DLL dosyasını başlatıyor. Bu DLL dosyası, PUBLOAD isimli bir indirme malware’ini yüklemek için kullanılıyor. PUBLOAD, uzaktaki bir sunucu ile iletişim kurarak bir sonraki aşama yükleme olarak adlandırılan Pubshell‘i indirmekten sorumlu.
Pubshell ve TONESHELL: Zararlı Yazılımlar Arasındaki Farklar
Pubshell, güvenlik araştırmacıları Golo Mühr ve Joshua Chung tarafından yayınlanan bir analizde, makineye anında erişim sağlayan bir "hafif arka kapı" olarak tanımlanıyor. Pubshell ve TONESHELL arasındaki bazı terminolojik farklılıklara dikkat çekmek önemlidir. IBM, Claimloader adını Cisco Talos tarafından Mayıs 2022’de ilk kez belgelenen özel stajyeri tanımlamak için kullanırken, PUBLOAD’ı da birinci aşama shellcode indirme aracı olarak tanımlıyor. Trend Micro, bu iki bileşeni birlikte PUBLOAD olarak tanımlamaktadır.
Sadece birkaç hafta önce, IBM, Hive0154 alt kümesinin ABD, Filipinler, Pakistan ve Tayvan gibi ülkeleri hedef aldığını bildirdi. Bu tür aktiviteler, Tibet’i hedef alanlarla aynı şekilde, devlet, askeri ve diplomatik kuruluşları hedeflemek için silahlandırılmış arşivler kullanmaktadır.
Sosyal Mühendislik ve Spear-Phishing Faaliyetleri
Hedeflenen kullanıcıların bu siber saldırılara maruz kalma riskini artıran bir teknik de sosyal mühendislik uygulamalarıdır. Saldırı içerikleri, Google Drive gibi hizmetler aracılığıyla zararlı ZIP veya RAR arşivlerine yönlendiren bağlantılar içermektedir. Kullanıcı, bu bağlantılara tıkladığında, sonrasında zararlı yazılımın yüklenmesine sebep olmaktadır.
Bu gibi saldırılar, kullanıcıların dikkatini dağıtmak için tasarlanmış olup, genellikle Türkiye’nin siber güvenlik açısından savunmasız olduğu noktalara yoğunlaşmaktadır. Mustang Panda grubu, bu tür sosyal mühendislik teknikleriyle hedeflerini kolayca yanıltabiliyor.
USB Tabanlı Yayılma ve Yeni Tehditler
Taiwan’a yönelik saldırılar, HIUPAN adında bir USB solucanı kullanarak yayıldığı gözlemlendi. Bu solucan, Claimloader ve PUBLOAD’i USB cihazları üzerinden yaymak için kullanılıyor. Güvenlik araştırmacıları, Hive0154 grubunun hala oldukça yetenekli bir tehdit aktörü olduğunu ve birçok aktif alt küme ile sıkça gelişen döngülere sahip olduğunu belirtiyor.
Gelecekteki Tehditler ve Güvenlik Önlemleri
Çin merkezli gruplar, Hive0154 gibi, geniş bir zararlı yazılım cephaneliğine sahip olmaya devam edecek ve özel ve kamu sektöründeki Doğu Asya tabanlı kuruluşlara odaklanacaklar. Sık sık güncellenecek olan bu araçlar, hedefine ulaşmak için çeşitli teknikler kullanmaktadır. USB solucanı tabanlı yayılma gibi yöntemler, bu grupların ne kadar sofistike olduğunu ve sürekli tehdit oluşturma potansiyelini ortaya çıkarmaktadır.
Önümüzdeki süreçte, siber güvenlik uzmanlarının bu tür tehditlere karşı alacakları önlemler ve geliştirecekleri savunma stratejileri oldukça kritik olacaktır. Siber güvenlik alanında atılacak her adım, bu tür saldırıların önüne geçmek için büyük önem taşımaktadır.
