Çin merkezli Siber Tehditler ve PlugX Malware’i
Son dönemlerde, Orta ve Güney Asya ülkelerinde telekomünikasyon ve üretim sektörlerini hedef alan bir siber saldırı dalgası, PlugX adındaki bilinen zararlı yazılımın yeni bir varyantının dağıtımını içermektedir. Uzmanlar, bu yeni varyantın, daha önce tanımlanan RainyDay ve Turian arka kapılarıyla çeşitli benzerlikler taşıdığını belirtiyor. Özellikle DLL yan yüklemesi gibi meşru uygulamalar kullanarak saldırı gerçekleştiriyor.
Researcher’lar Joey Chen ve Takahiro Takeda, Cisco Talos tarafından yapılan bir analizde, PlugX varyantının yapılandırmasının genelde kullanılan formatlardan oldukça farklı olduğunu vurguladı. Bu yeni yapı, Lotus Panda adlı Çin bağlantılı tehdit aktörü ile ilişkilendirilen RainyDay arka kapısının yapısına benzemektedir.
PlugX ve Diğer Zararlı Yazılımlar
PlugX, Çin merkezli birçok hacker grubu tarafından yaygın bir şekilde kullanılan bir uzaktan erişim Trojan’ıdır (RAT). Özellikle Mustang Panda adıyla da bilinen grup tarafından aktif olarak kullanılmaktadır. Bu grubun saldırıları, hedef aldıkları telekomünikasyon şirketleri ile birlikte çeşitli ülkeleri kapsamaktadır.
Turian ise, özellikle Orta Doğu’ya yönelik saldırılarda kullanılan bir arka kapıdır ve ayrıca BackdoorDiplomacy adlı bir başka gelişmiş sürekli tehdit (APT) grubu ile ilişkilendirilmektedir. Bu durum, Lotus Panda ve BackdoorDiplomacy arasında bir bağlantı olabileceğini düşündürmektedir. Araştırmalar, her iki grup arasında hedef alma şeklinin ve teknik uygulamaların örtüştüğünü göstermektedir.
Kazakhstan’da Hedef Alma ve Saldırı Zincirleri
Son zamanlarda yapılan saldırılardan biri, Naikon grubunun Kazakistan’daki bir telekomnikasyon firmasını hedef alması ile meydana gelmiştir. Kazakistan, geçmişte BackdoorDiplomacy tarafından belirtilmiş bir ülke olduğundan, her iki grubun da Orta Asya ülkeleri üzerinde yoğunlaştığı görülmektedir.
Saldırı zincirleri, Mobile Popup Application ile ilişkili bir meşru yürütülebilir dosyanın kötü amaçlı bir DLL’yi yüklenecek şekilde kötüye kullanımı etrafında şekillenmektedir. Böylece, PlugX, RainyDay ve Turian gibi zararlı yazılımlar bellek içerisinde çalıştırılmaktadır. Bu teknik, genellikle hedef alınan şirketlerin güvenlik önlemlerini aşmak için kullanılmaktadır.
Bookworm Malware ve Mustang Panda’nın Stratejileri
Palo Alto Networks’ün Unit 42 bölümü, Mustang Panda grubunun 2015’ten bu yana kullandığı Bookworm malware’inin işleyişine dair detaylar sunmaktadır. Bu zararlı yazılım, hedef alınan sistemlerde geniş çapta kontrol sağlama yeteneğine sahiptir. Arbitrar komutları çalıştırma, dosya yükleme/indirme ve data dışa aktarımı yapma özellikleriyle dikkat çekmektedir.
Doğu Asya ülkeleri ile ilişkili saldırılar, Bookworm’un dağıtımını hedef almıştır ve bu süreçte meşru gibi görünen alan adları ve ele geçirilmiş yapıların Command and Control (C2) amacıyla kullanıldığı gözlemlenmiştir. DLL yan yüklemesi tekniği, Bookworm’un dağıtımında önemli bir rol oynamaktadır.
Geçmişteki Analizler ve Gelecek Tehditleri
Araştırmacılar arasında, PlugX ile TONESHELL arasında benzerliklerin bulunduğu belirtilmektedir. SKT yaratıcıları tarafından çeşitli sürelerde geliştirilmiş olan şey, yıllar içinde evrilmektedir. Modüler mimariye sahip olan Bookworm, ek modüllerin yüklenmesi sayesinde genişletilebilmektedir. Bu, istatiksel analizlerin zorluğunu artırmaktadır.
Zararlı yazılım analizi, bu tür tehditlerin tespit edilmesi ve önlenmesi açısından kritik öneme sahiptir. Uzun vadeli bu tür tehditlerle başa çıkabilmek için, güvenlik uzmanları ile birlikte stratejik yaklaşımlar geliştirmek önem arz etmektedir.
Sonuçta, bu tür tehditler, sadece teknolojik açıdan değil, aynı zamanda uluslararası ilişkiler açısından da geniş etkilere yol açabilmektedir. Güvenlik önlemleri alacak olan tüm kuruluşların dikkatli ve hazırlıklı olması, gelecekteki siber saldırılara karşı koyabilme yeteneği açısından hayati önem taşımaktadır.
