Çin Bağlantılı Siber Tehditler: Avrupa’nın Hedefinde
Son dönemde, Çin bağlantılı bir siber tehdit aktörünün 2025 ortasından itibaren Avrupa’daki hükümet ve diplomatik kuruluşlara yönelik hedef alımları artmıştır. Bu durum, siber güvenlik alanında daha geniş bir endişe yaratmakta ve kritik bilgilerin toplanmasına yönelik mücadelede dikkatli olunması gerektiğini göstermektedir.
Saldırı Nasıl Çalışıyor?
Söz konusu kampanyanın arkasındaki grup TA416 olarak adlandırılmaktadır. Bu grup, DarkPeony, RedDelta, Red Lich, SmugX, UNC6384 ve Vertigo Panda gibi diğer terörist aktivitelerle örtüşen bir etkinlik kümesi olarak tanımlanmaktadır. TA416, diplomatik görevleri hedef alarak çeşitli saldırılar gerçekleştirmiştir:
- Web bug ve zararlı yazılım dağıtım kampanyaları, özellikle Avrupa Birliği ve NATO üzerindeki diplomatik misyonlara yönelmiştir.
- Cloudflare Turnstile sayfalarının kötüye kullanılması ve OAuth yönlendirmeleri, bulaşma zincirini çeşitlendirmede aktif olarak kullanılmıştır.
- Kendi özel PlugX yüklenicilerini sık sık güncelleyerek, saldırı teknisyenlerinin metodolojisini sürekli değiştirmiştir.
TA416, aynı zamanda Orta Doğu’daki diplomatik ve devlet kurumlarına yönelik kampanyalar düzenleyerek, ABD-İsrail-İran çatışması sırasında bölgesel istihbarat toplamaya çalışmaktadır.
Etkilenen Sistemler
TA416’nın faaliyetleri, çeşitli sistemlerin hedef alındığını; bu sistemler arasında:
- Zararlı arşivler vasıtasıyla PlugX geri kapısını dağıtan freemail hesapları.
- Microsoft Azure Blob Storage, Google Drive ve kontrol altındaki alan adları.
- Üçüncü taraf Microsoft Entra ID bulut uygulamaları kullanarak yönlendirme başlatma.
Zararlı yazılım kampanyaları, bu sistemlerin tamamında baskın bir tehdidi temsil etmektedir.
Çözüm ve Korunma
Güvenlik uzmanları, Microsoft’un uyarılarının dikkate alınarak, aşağıdaki önlemleri almaları gerektiğini vurgulamaktadır:
- Güncelleme: Tüm yazılımlarınızı, özellikle güvenlik yamalarını, düzenli olarak kontrol edin ve güncelleyin.
- Port Kapatma: Gereksiz ve kullanımda olmayan portları kapatın.
- Düzenli Eğitim: Kullanıcıları, kimlik avı ve sosyal mühendislik taktikleri konusunda bilgilendirin.
TA416’nın kullandığı PlugX zararlısının bazı komutları şunlardır:
- 0x00000002: Sistem bilgilerini toplamak.
- 0x00001005: Zararlı yazılımı kaldırmak.
- 0x00001007: Beaconing aralığını ayarlamak.
- 0x00003004: Yeni bir payload indirmek ve çalıştırmak.
- 0x00007002: Ters komut shell açmak.
Sonuç olarak, Avrupa hükümetlerine yönelik bu artan tehditler, siber güvenlik yöneticilerinin sürekli bir dikkat ve hazırlık içinde olmalarını gerektirmektedir. Kendi sistemlerinizi sağlamlaştırmak ve güncel tutmak, bu tür siber saldırılara karşı en iyi savunmadır.
