HazyBeacon: Güneydoğu Asya’daki Siber Casusluk Faaliyetleri
Son dönemlerde, Güneydoğu Asya‘daki hükümet kuruluşları hedef alınarak gerçekleştirilen yeni bir siber casusluk kampanyası dikkat çekiyor. Bu kampanya, önceden belgelenmemiş bir Windows arka kapısı olan HazyBeacon aracılığıyla hassas bilgileri toplamayı amaçlıyor. Palo Alto Networks’ün Unit 42 analistleri bu faaliyetleri CL-STA-1020 kod adıyla takip ediyor. Buradaki “CL”, “küme”yi, “STA” ise “devlet destekli motivasyon”u ifade ediyor.
Lior Rochberger, bu kampanyanın arkasındaki tehdit aktörlerinin hükümet ajanslarından bilgi toplama çabalarını vurgularken, son dönemdeki gümrük tarifeleri ve ticaret anlaşmazlıkları hakkında bilgi topladıklarını belirtiyor. Güneydoğu Asya’nın siber casusluk açısından artan önemi, onun hassas ticaret müzakereleri, askeri modernizasyon ve ABD-Çin güç dinamiklerinde stratejik konumuyla ilgilidir. Bu bölgedeki hükümet ajanslarını hedef almanın, dış politika yönü, altyapı planlaması ve bölgesel ile küresel piyasaları etkileyen iç düzenleme değişiklikleri hakkında değerli istihbarat sağlaması muhtemeldir.
Malware’ın İlk Erişim Yöntemleri
HazyBeacon’un başlangıçta sistemlere nasıl eriştiği henüz tam olarak bilinmemekle birlikte, yapılan analizler, saldırganların ilginç bir yöntem kullanarak zararlı yazılımı dağıttığını göstermektedir. DLL yan yükleme teknikleri ile kötü amaçlı “mscorsvc.dll” dosyasının, geçerli Windows çalıştırılabilir dosyası olan “mscorsvw.exe” ile birlikte yerleştirildiği tespit edilmiştir.
Binary çalıştırıldığı anda, bu DLL kötü niyetli bir URL ile iletişim kurarak, saldırganların komutları yürütmesine ve ek yükler indirmesine olanak tanır. Sistem yeniden başlatıldığında bile bu DLL’in çalışmasını sağlamak için bir servis aracılığıyla kalıcılık sağlanmaktadır.
Cloud Hizmetlerinin Kötüye Kullanımı
HazyBeacon’un dikkat çeken bir özelliği ise komut ve kontrol (C2) amaçları için Amazon Web Services (AWS) Lambda URL’lerini kullanmasıdır. Rochberger, bu yöntemin, saldırganların meşru hizmetleri kötüye kullanarak tespit edilmeme çabası olarak değerlendirildiğini belirtiyor. “AWS Lambda URL’leri, kullanıcıların sunucusuz işlevleri doğrudan HTTPS üzerinden çağırmasına olanak tanıyan bir özelliktir,” diyor Rochberger.
Bu teknik, meşru bulut işlevselliğini kullanarak gözden kaçmayı sağlamakta ve kanıtlanması zor bir iletişim kanalı yaratmaktadır. Savunucuların, nadir kullanılan bulut uç noktalarına yönelik dış trafik izlemeleri önerilmektedir. Özellikle alışılmadık ikili dosyalar veya sistem servisleri tarafından başlatıldığında bu uç noktalar dikkatle incelenmelidir. AWS kullanımının kendisi şüpheli olmamakla birlikte, süreçlerin kökenlerini, ebeveyn-çocuk yürütme zincirlerini ve uç nokta davranışlarını karşılaştırarak bağlamına göre temel alma yapmak, meşru faaliyetler ile kötü amaçlı yazılım kullanımlarını ayırt etmeye yardımcı olabilir.
Veri Toplama ve Sızdırma Yöntemleri
HazyBeacon, indirdiği payloadlar arasında bir dosya toplayıcı modülü bulundurmaktadır. Bu modül, belirli dosya uzantılarına sahip dosyaları (örneğin, doc, docx, xls, xlsx, ve pdf) belirli bir zaman aralığında toplayarak elde etmeyi hedefler. Bu dosyalar, özellikle ABD tarafından uygulanan son gümrük önlemleriyle ilgili belgeleri aramaktadır.
Tehdit aktörlerinin, Google Drive ve Dropbox gibi diğer hizmetleri de veri sızdırma kanalları olarak kullanarak normal ağ trafiğiyle harmanlandığı görülmektedir. Unit 42’nin incelediği olayda, bu bulut depolama hizmetlerine dosya yükleme girişimlerinin engellendiği bildirilmektedir.
İzleri Silmek İçin Yapılan Temizlik İşlemleri
Saldırganlar, bağlanmanın son aşamasında, gerçekleştirdikleri faaliyetlerin izlerini bırakmamak amacıyla temizleme komutları çalıştırmaktadırlar. Bütün arşiv dosyaları ve saldırı sırasında indirilen diğer payloadlar silinmektedir. Rochberger’ın ifadesiyle, “Tehdit aktörleri, HazyBeacon’u ana araç olarak kullanarak hükümet kurumlarından hassas bilgileri toplamakta.”
Bu kampanya, saldırganların güvenilir bulut hizmetlerini nasıl kötüye kullandığını göstermektedir. HazyBeacon, güvenilir platformların gizli iletişim kanalları olarak kullanıldığı daha geniş bir eğilimi yansıtmaktadır. Bu tür taktikler, Google Workspace, Microsoft Teams veya Dropbox API’leri aracılığıyla tespit edilmeden kalıcı erişim sağlamak için de kullanılmaktadır.
