Giriş
Son zamanlarda, Çince konuşan bireyler hedef alarak yayılmaya başlayan bir yeni siber saldırı kampanyası, güvenlik tehditleri açısından büyük bir endişe kaynağı haline geldi. Bu kampanyanın, kurbanların sistemlerine derinlemesine sızarak uzaktan erişim sağlamak için kullanılan bir yöntem olması riski, siber güvenlik alanında birçok uzmanın dikkatini çekti.
Saldırı Nasıl Çalışıyor?
Bu siber kampanya, AdaptixC2 Beacon olarak bilinen bir kötü amaçlı yazılım aracını dağıtmak için sahte bir SumatraPDF versiyonunu kullanmaktadır. Zscaler ThreatLabz tarafından keşfedilen bu kampanya, yüksek bir güvenle Tropic Trooper (diğer isimleriyle APT23, Earth Centaur, KeyBoy ve Pirate Panda) hacking grubuna atfedilmektedir. Bu grubun, Tayvan, Hong Kong ve Filipinler’deki çeşitli kuruluşları hedef aldığı bilinmektedir ve en az 2011 yazından beri aktif olduğu değerlendirilmektedir.
Saldırının başlangıç noktası, askeri temalı belgeler içeren bir ZIP arşivi ile kurbanları kandırmak ve sahte SumatraPDF versiyonunu başlatmak için kullanılır. Sahte PDF belgesini göstermekle birlikte, aynı anda bir staging sunucusundan şifreli shellcode almak için kullanılır. Bu shellcode, AdaptixC2 Beacon’ı başlatır.
Etkilenen Sistemler
Saldırının hedefleri arasında genellikle Çince konuşan bireylerin yanı sıra, Tayvan, Güney Kore ve Japonya’daki kullanıcılar yer almaktadır. Kötü amaçlı yazılım, aşağıdaki özelliklere sahip sistemlerde etkili olmaktadır:
- SumatraPDF uygulamasının kötü amaçlı sürümü.
- GitHub komut ve kontrol (C2) platformunu kullanan sistemler.
- Microsoft Visual Studio Code (VS Code) tünellerine sahip makineler.
Çözüm ve Korunma
Bu saldırı türlerine karşı koruma sağlamak için alınması gereken bazı önlemler şunlardır:
- Güncellemeleri Yapın: Tüm yazılımları güncel tutun, özellikle PDF okuyucuları ve geliştirme araçları.
- Şüpheli Dosyalardan Kaçının: Askeri tema içeren veya tanımadığınız kaynaklardan gelen ZIP dosyalarına dikkat edin.
- Ağ İzleme ve Güvenlik Araçları Kullanımı: Siber güvenlik çözümlerini uygulayarak ağ trafiğinizi izleyin.
- Port Kapatma: Gereksiz kapalı portları kontrol ederek dış bağlantılara karşı güvenliği artırın.
Aksiyon
Tüm kullanıcıların, sistemlerini mümkün olan en kısa sürede güncelleyerek ve dikkatli bir şekilde güvenlik önlemlerini alarak bu tür saldırılara karşı korunmaları gerekmektedir. Şüpheli dosyalara tıklamamak ve ağ güvenliğini sağlamak, bu tehditlere karşı en etkili korunma yollarıdır. Unutmayın, güvenliğiniz, sürekli dikkat ve güncellemeye bağlıdır.
