Evasive Panda: DNS Zehirlenmesi ve MgBot Malwaresi
Evasive Panda, Çin bağlantılı bir gelişmiş sürekli tehdit (APT) grubudur ve Türkiye, Çin ve Hindistan’daki hedeflerine yönelik yüksek derecede hedeflenmiş bir siber casusluk kampanyası yürütmektedir. Bu kampanyada, saldırganlar, Domain Name System (DNS) isteklerini zehirleyerek kendi imzalarını taşıyan MgBot arka kapısını teslim etmektedir. Kaspersky tarafından yapılan analizler, bu etkinliğin 2022 Kasım ile 2024 Kasım tarihleri arasında gözlemlendiğini ortaya koymaktadır.
Grubun Tarihçesi
Evasive Panda, diğer adlarıyla Bronze Highland, Daggerfly ve StormBamboo olarak da bilinen bir hacker grubudur. 2012 yılından bu yana aktif olduğu tahmin edilmektedir. Kaspersky araştırmacısı Fatih Şensoy, grubun belirli hedeflere karşı “adversary-in-the-middle” (AitM) saldırıları gerçekleştirdiğini belirtmiştir. Bu saldırılar, yükleyicilerin belirli konumlara yerleştirilmesi ve şifrelenmiş malware parçalarının saldırgan kontrolündeki sunucularda depolanması gibi teknikleri içermektedir.
DNS Zehirlenmesi ve Açıklar
Evasive Panda’nın DNS zehirlenmesi kabiliyetleri ilk kez 2023 yılının Nisan ayında ESET tarafından gündeme getirilmiştir. Bu dönemde, grubun Çin ana karasında bir uluslararası sivil toplum örgütünü hedef aldığı, meşru uygulamaların trojanlaştırılmış versiyonlarını sunduğu tespit edilmiştir. 2024 yılının Ağustos ayında yayımlanan bir raporda ise, Evasive Panda’nın bir internet servis sağlayıcısını (ISP) DNS zehirlenmesi saldırısı ile ele geçirerek, hedeflerine kötü amaçlı yazılım güncellemeleri göndermesi konusunda önemli bulgular yer almaktadır.
Yöntemler ve Kullanılan Yazılımlar
Evasive Panda’nın kullandığı tekniklerden biri, üçüncü parti yazılımlar için güncelleme maskeleri kullanmaktır. Örneğin, SohuVA adlı bir video akış hizmetinin güncellemesi, “p2p.hd.sohu.com[.]cn” alan adı üzerinden iletilmektedir. Saldırganların, bu alan adının DNS yanıtını saldırgan kontrolündeki bir sunucu IP adresine değiştirmek için DNS zehirlenmesi kullandığı düşünülmektedir. Ayrıca, Baidu’nun iQIYI Video ve Tencent QQ için sahte güncelleyiciler de kullanıldığı tespit edilmiştir.
MgBot’un Özellikleri ve Hareketleri
MgBot, dosya toplama, tuş kaydı yapma, pano verilerini toplama ve web tarayıcılarından kimlik bilgileri çalma gibi işlevlere sahip bir modüler implanttır. Bu tür bir malware, kurban sistemlerinde uzun süre tespit edilmeden kalabilmektedir. Kaspersky, MgBot’un belirtildiği gibi gelişmiş bir gizlenme yeteneğine sahip olduğunu ve yeni teknikler kullanarak güvenlik önlemlerini aşmayı başardığını ifade etmektedir.
Sonuç ve Değerlendirme
Evasive Panda’nın gerçekleştirdiği siber saldırılar, gelişmiş yetenekleri ve karmaşık yöntemleri ile dikkat çekmektedir. Grubun hedef aldığı sistemlerde uzun süreli kalıcılığı sağlama konusundaki başarıları, dünya çapında siber güvenlik uzmanlarını endişelendiriyor. Kullanılan DNS zehirlenmesi yöntemleri ve MgBot gibi sofistike malware örnekleri, sürekli olarak evrilen siber tehdit manzarasında önemli bir yer tutmaktadır.
