APT24 ve BADAUDIO Malware’sı ile Uzun Süreli Casusluk Operasyonu
Son yıllarda siber tehditlerin artışı, özellikle devlet destekli grupların faaliyetlerinde önemli bir etken haline geldi. Bu gruplardan biri olan APT24, BADAUDIO adı verilen ve daha önce belgelenmemiş bir malware kullanarak, Taiwan dahil olmak üzere birçok hedef üzerinde etkili bir casusluk kampanyası yürütüyor. APT24, daha önce benzer saldırılarda kullanılan yöntemlerin evrim geçirdiğini gösteriyor.
Yeni Saldırı Yöntemleri
Google Tehdit İstihbarat Grubu (GTIG) tarafından yapılan araştırmalara göre, APT24 artık daha karmaşık yöntemlerle sahte web siteleri üzerinden saldırılar düzenliyor. Geçmişte daha geniş stratejik web saldırılarına odaklanan grup, şimdi hedeflerini daha etkin bir şekilde belirleyerek daha spesifik saldırılar düzenliyor. Bu bağlamda, bölgesel bir dijital pazarlama firmasını defalarca ele geçirerek tedarik zinciri saldırıları gerçekleştirmiştir.
BADAUDIO’nun Çalışma Mekanizması
BADAUDIO, C++ ile yazılmış ve tersine mühendislikten korunmak amacıyla kontrol akışı düzleme (control flow flattening) teknikleri kullanan bir malware’dır. İlk aşama indirgici olarak işlev gören bu yazılım, bir komut ve kontrol (C2) sunucusundan şifreli bir yük indirip çalıştırabilir. APT24, BADAUDIO aracılığıyla sistem bilgilerini toplayıp dışarıya aktararak saldırılarını gerçekleştiriyor. Örneğin, bazı durumlarda bu yük bir Cobalt Strike Beacon olarak işlev görüyor.
Tedarik Zinciri Saldırıları ve Phishing Kampanyaları
BADAUDIO’nun yanı sıra, APT24 daha önce de görülmüş olan tedarik zinciri saldırılarını sıklıkla tercih ediyor. 2024 yılı itibarıyla, bir dijital pazarlama firması üzerinden yapılan bir saldırı, 1,000’den fazla alan adını ele geçirerek geniş bir etki yaratmıştır. Saldırılar, sahte JavaScript kodları vasıtasıyla gerçekleştiriliyor ve hedef cihazlar üzerinde BADAUDIO’yu indirip yüklemesi için yanıltıcı açılır pencereler gösteriyor.
Augusta 2024’ten itibaren, grup hedeflerine yönelik özel phishing e-postaları göndermeye başladı. Bu e-postalar, kullanıcıları yanıltarak BADAUDIO’yu indirmeleri için yönlendirmektedir ve bu süreçte Google Drive ve Microsoft OneDrive gibi bulut hizmetlerini suistimal etmektedir.
Apt24 ve Hedefleri
APT24’ün hedefleri arasında hükümet, sağlık, inşaat ve mühendislik, madencilik ve telekomünikasyon sektörleri bulunmaktadır. Bu doğrultuda, grubun operasyonları 2008 yılına kadar uzanmakta ve birçok kez tespit edilmiştir. BADAUDIO’nun yanı sıra, APT24 ile ilişkili diğer malware türleri arasında CT RAT ve Taidoor yer almaktadır.
Sonuç ve Değerlendirme
APT24, siber casusluk alanında son derece gelişmiş ve uyum sağlayabilen bir tehdit olarak öne çıkıyor. Tedarik zinciri saldırıları ve sosyal mühendislik uygulamaları gibi yöntemlerle varlığını sürdüren grup, dünya genelinde ulusal güvenlik için ciddi tehditler oluşturmaktadır. Bu bağlamda, tehdit verilerini analiz eden kurumlar, APT24 gibi grupların hedeflerine yönelik önleme stratejileri geliştirmelidir.
