Ink Dragon ve Cyber Tehditler
Son dönemlerde, Ink Dragon adı altında faaliyet gösteren bir hacker grubu, özellikle hükümet hedeflerine odaklanarak siber tehditlerini artırmış durumda. Bu grup, Çin’e bağlı olduğu düşünülen Jewelbug olarak da biliniyor ve 2023 Mart’ından itibaren aktif olduğu kaydedilmiştir. Check Point Research tarafından izlenen grup, Avrupa, Güneydoğu Asya ve Güney Amerika’daki çeşitli kuruluşları hedef alıyor.
Tehdit Aktörü ve Operasyonel Yöntemler
Ink Dragon, karmaşık yazılım mühendisliği ve disiplinli operasyonel playbook’lar kullanarak sızma eylemlerini gerçekleştirmekte. Grubun kullandığı araçlar kestirimci özellikleri ile biliniyor ve hedef ağlarla normal kurumsal trafiği harmanlamayı başarıyor. Bu da onların saldırılarını hem etkili hem de gizli kılıyor. Eli Smadja, Check Point Software’dan, grubun hala aktif olduğunu ve çok sayıda kurbanı etkilediğini belirtiyor.
Malware Kullanımı ve Hedefler
Ink Dragon’ın saldırı zincirleri, internetten erişebilen web uygulamalarındaki zayıf hizmetleri kullanarak web shell’ler bırakıyor ve sonrasında VARGEIT gibi ek payload’lar ile saldırılarını sürdürüyor. Grubun kullandığı önemli bir arka kapı, FINALDRAFT (Squidoor olarak da bilinir) adıyla biliniyor ve hem Windows hem de Linux sistemlerini etkileyebiliyor.
Gelişmiş Saldırı Yöntemleri
Ink Dragon’ın kullandığı bir diğer dikkat çekici malware ise NANOREMOTE. Bu araç, Google Drive API’sini kullanarak dosyaları C2 sunucusu ile compromised endpoints arasında iletiyor. Check Point’ın raporlarına göre diğer önemli adımlar arasında, IIS ve SharePoint sunucularındaki zayıf noktaları kullanarak web shell’ler bırakmak yer alıyor.
Grup, karşılaştıkları ISAPI ve ASP.NET gibi zayıf alanlardan yararlanarak, infilak edip yeniden komuta ve kontrol için çalışmalar yapmaktadır. Özellikle, belirli bir IIS makinesi için bir listener modülü kurarak, sızdırılmış sunucuların C2 altyapısını oluşturmasına olanak tanıyor.
Saldırıların Etkileri ve Korunma Yöntemleri
Ink Dragon’ın saldırılarına maruz kalan bir dizi kuruluş, bu saldırılardan etkilendi. Saldırganlar, düşük düzeyde sistem erişimleri elde edip, DNS ayarları ile kötü niyetli trafiği yönlendirmekte. Bu durum, bir kez ele geçirilen sistemin, daha geniş ve daha karmaşık bir saldırı altyapısı halinde kullanılmasına yol açıyor.
Siber güvenlik uzmanları, Ink Dragon gibi grupların siber tehdit modellerinin oldukça karmaşık hale geldiğini ve her bir saldırının, daha geniş bir saldırı ağının parçası olarak değerlendirilmesi gerektiğini belirtiyor. Savunma mekanizmaları, sadece yerel ihlalleri değil, aynı zamanda dışarıdan yönetilen bir ekosistemi de kapsayacak şekilde genişletilmelidir.
Sonuç olarak, Ink Dragon grubu, ShadowPad gibi kötü niyetli araçları kullanarak çok katmanlı saldırılar düzenlemeye devam ediyor. Defansif stratejiler oluşturulurken, bu grup ve benzeri aktörlerin tehlikeleri ciddi bir gözle izlenmeli ve gerekli önlemler alınmalıdır.
