LongNosedGoblin: Çin Destekli Tehdit Grubunun Siber Saldırıları
Giriş
Son zamanlarda, Çin’e bağlı bir tehdit grubu olan LongNosedGoblin, Güneydoğu Asya ve Japonya’daki hükümet kuruluşlarına yönelik siber saldırılarla dikkat çekti. ESET, bu grubun en az Eylül 2023’ten beri aktif olduğunu belirtiyor. Amaçları ise siber casusluk faaliyetleri yürütmek.
Grup Politikası ve İstismar
LongNosedGoblin, Group Policy kullanarak malware dağıtımı yapmaktadır. Microsoft’un belirttiğine göre, Group Policy, Windows makinelerinde ayar ve izinleri yönetmek için kullanılan bir mekanizmadır. Bu tehdit grubu, bulut hizmetlerini (örneğin Microsoft OneDrive ve Google Drive) komuta ve kontrol (C&C) sunucuları olarak kullanarak kurbanların ağında etkin hale gelmektedir. ESET uzmanları, grubun kullandığı araçların büyük bir kısmının C#/.NET uygulamalarından oluştuğunu vurguladı.
Kullanılan Araçlar
LongNosedGoblin’in kullandığı özel araç seti, birçok farklı işlevselliğe sahip yazılımlar içerir:
- NosyHistorian: Google Chrome, Microsoft Edge ve Mozilla Firefox’tan tarayıcı geçmişi toplar.
- NosyDoor: Microsoft OneDrive’ı C&C olarak kullanan bir arka kapıdır. Dosyaları dışarı çıkarmak veya silmek için komutlar yürütür.
- NosyStealer: Tarayıcı verilerini, şifrelenmiş bir TAR arşivi şeklinde Google Drive’a dışarı çıkarır.
- NosyDownloader: Bellekte payload indirip çalıştırmak için kullanılır.
- NosyLogger: Tuş vuruşlarını kaydetmek için kullanılan bir modifiye versiyonudur.
Bu araçlar, grubun hükümet kuruluşlarına karşı yürüttüğü hedefli saldırılarda etkili bir şekilde kullanılmıştır.
İlk Erişim Yöntemleri ve Hedefleme
ESET, LongNosedGoblin grubuyla ilişkili aktiviteleri ilk kez 2024’ün Şubat ayında Güneydoğu Asya’daki bir hükümet systemında tespit etti. Saldırıların başlangıç yöntemleri henüz net olarak belirlenmemiştir. Ancak yapılan analizler, birçok kurbanın NosyHistorian’dan etkilendiğini, fakat sadece bir kısmının NosyDoor ile enfekte olduğunu gösteriyor. Bu durum, grubun daha hedefli bir yaklaşım benimsediğini ortaya koymaktadır.
LongNosedGoblin ve Diğer Tehdit Grupları
LongNosedGoblin’in çalışma yöntemleri, ToddyCat ve Erudite Mogwai gibi diğer tehdit gruplarıyla bazı benzerlikler göstermektedir. Ancak, bunlar arasında kesin bir bağlantı bulunmamaktadır. LongNosedGoblin’in kullandığı NosyDoor’un, LuckyStrike Agent ile benzerlikleri, bu malware’in diğer tehdit gruplarına satılması veya lisanslanması ihtimalini artırmaktadır.
Sonuç ve Gelecek
ESET araştırmaları, LongNosedGoblin’in farklı TTP’ler kullanarak, örneğin Avrupa Birliği’ndeki bir kuruluşu hedef alması gibi durumlardan bahsetmektedir. Bu durum, malware’in birden fazla Çin destekli tehdit grubu arasında paylaşılabileceğini göstermektedir. Hükümetleri hedef alan bu tür siber saldırılar, siber güvenlik alanında dikkatle izlenmesi gereken önemli bir konudur.
Siber güvenlik önlemlerinin güçlendirilmesi ve bilinçli olunması, bu tür tehditlerle başa çıkmak için kritik öneme sahiptir.
