Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Çinli Ulus-Devlet Hackerları APT41 Mali Kazanç İçin Kumar Sektörünü Vurdu
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Çinli Ulus-Devlet Hackerları APT41 Mali Kazanç İçin Kumar Sektörünü Vurdu

GenelSiber Güvenlik

Çinli Ulus-Devlet Hackerları APT41 Mali Kazanç İçin Kumar Sektörünü Vurdu

teknomers
Son güncelleme: 21 Ekim 2024 19:45
teknomers
Paylaş
Paylaş


APT41 (diğer adıyla Brass Typhoon, Earth Baku, Wicked Panda veya Winnti) olarak bilinen üretken Çin ulus devlet aktörünün, kumar ve oyun endüstrisini hedef alan karmaşık bir siber saldırıya atfedildiği belirtiliyor.

Ido Naor, kurucu ortağı ve CEO’su, “En az altı aylık bir süre boyunca, saldırganlar hedeflenen şirketten ağ yapılandırmaları, kullanıcı şifreleri ve LSASS sürecindeki sırlar dahil ancak bunlarla sınırlı olmamak üzere değerli bilgileri gizlice topladı.” İsrailli siber güvenlik şirketi Security Joes, yaptığı açıklamada şunları söyledi: Paylaşıldı Hacker Haberleri ile.

“İzinsiz giriş sırasında saldırganlar, güvenlik ekibinin tepkisine göre araç setlerini sürekli olarak güncellediler. Savunmacıların eylemlerini gözlemleyerek, tespitleri atlamak ve ele geçirilen ağa kalıcı erişimi sürdürmek için stratejilerini ve araçlarını değiştirdiler.”

Müşterilerinden birini hedef alan ve bu yıl yaklaşık dokuz ay süren çok aşamalı saldırı, siber güvenlik sağlayıcısı Sophos tarafından Kızıl Saray Operasyonu adı altında takip edilen bir izinsiz giriş seti ile örtüşüyor.

Naor, şirketin olaya dört ay önce müdahale ettiğini belirterek, “Bu saldırılar devlet destekli karar vericilere bağlı. Bu sefer APT41’in mali kazanç peşinde olduğundan büyük bir güvenle şüpheleniyoruz.”

Kampanya gizlilik göz önünde bulundurularak tasarlandı ve yalnızca ortamda kurulu güvenlik yazılımını atlatmakla kalmayıp aynı zamanda kritik bilgileri toplayan ve kalıcı uzaktan erişim için gizli kanallar oluşturan özel bir araç seti kullanarak hedeflerine ulaşmak için çeşitli taktiklerden yararlanıyor.

Güvenlik Joes, APT41’i hem “son derece becerikli hem de metodik” olarak tanımladı ve casusluk saldırıları düzenleme ve tedarik zincirini zehirleme yeteneğini öne sürerek fikri mülkiyet hırsızlığına ve fidye yazılımı ve kripto para birimi madenciliği gibi mali amaçlı saldırılara yol açtı.

Saldırıda kullanılan kesin ilk erişim vektörü şu anda bilinmiyor, ancak internete yönelik web uygulamalarında aktif güvenlik açıklarının veya tedarik zincirinde bir uzlaşmanın bulunmadığı göz önüne alındığında, kanıtlar bunun hedef odaklı kimlik avı e-postaları olduğu yönünde.

Şirket raporunda, “Hedeflenen altyapıya girdikten sonra saldırganlar, erişimlerini genişletmek için hizmet ve yönetici hesaplarının şifre karmalarını toplamayı amaçlayan bir DCSync saldırısı gerçekleştirdi.” dedi. “Bu kimlik bilgileriyle, özellikle yönetici ve geliştirici hesaplarına odaklanarak kalıcılık sağladılar ve ağ üzerinde kontrolü sürdürdüler.”

Saldırganların sistemli bir şekilde keşif ve sömürü sonrası faaliyetler yürüttüğü, tehdide karşı koymak için atılan adımlara yanıt olarak genellikle araç setinde ayarlamalar yaptığı ve nihai hedef olarak ek yük indirip yürütmek amacıyla ayrıcalıklarını artırdığı söyleniyor.

Bazıları teknikleri Hedeflerini gerçekleştirmek için kullanılanlar arasında Phantom DLL Ele Geçirme ve meşru wmic.exe yardımcı programının kullanımı yer alıyor; ayrıca yürütmeyi tetiklemek için yönetici ayrıcalıklarına sahip hizmet hesaplarına erişimlerini kötüye kullanmaktan bahsetmiyorum bile.

Bilgisayar korsanları kumar sektörünü hedef alıyor

Sonraki aşama, SMB protokolü üzerinden alınan TSVIPSrv.dll adlı kötü amaçlı bir DLL dosyasıdır ve ardından veri, sabit kodlu bir komut ve kontrol (C2) sunucusuyla bağlantı kurar.

“Sabit kodlanmış C2 başarısız olursa, implant aşağıdaki URL’yi kullanarak GitHub kullanıcılarını kazıyarak C2 bilgilerini güncellemeye çalışır: github[.]com/search?o=desc&q=pointers&s=joined&type=Kullanıcılar&.”

“Kötü amaçlı yazılım, GitHub sorgusundan dönen HTML’yi ayrıştırıyor ve yalnızca boşluklarla ayrılmış büyük harfli sözcük dizilerini arıyor. Bu sözcüklerden sekizini topluyor ve ardından yalnızca A ile P arasındaki büyük harfleri çıkarıyor. Bu işlem, 8 karakterlik bir dize oluşturuyor; Saldırıda kullanılacak yeni C2 sunucusunun IP adresini kodlayan.”

C2 sunucusuyla ilk temas, etkilenen sistemin profilinin çıkarılmasının ve bir soket bağlantısı aracılığıyla çalıştırılacak daha fazla kötü amaçlı yazılımın getirilmesinin yolunu açıyor.

Güvenlik Joes, tehdit aktörlerinin faaliyetleri tespit edildikten sonra birkaç hafta boyunca sessiz kaldıklarını, ancak sonunda LOLBIN’i kullanarak bir XSL dosyasının (“texttable.xsl”) değiştirilmiş bir sürümünde bulunan, oldukça karmaşık hale getirilmiş JavaScript kodunu yürütmek için yenilenmiş bir yaklaşımla geri döndüklerini söyledi. wmic.exe.

Araştırmacılar, “WMIC.exe MEMORYCHIP GET komutu başlatıldığında, çıktıyı biçimlendirmek için dolaylı olarak texttable.xsl dosyasını yükler ve saldırgan tarafından enjekte edilen kötü amaçlı JavaScript kodunun yürütülmesini zorlar” dedi.

JavaScript, time.qnapntp alanını kullanan bir indirici görevi görür.[.]com’u, makinenin parmak izini alan ve bilgileri sunucuya geri gönderen bir takip yükünü almak için bir C2 sunucusu olarak kullanır; bu, muhtemelen yalnızca tehdit aktörünün ilgisini çeken makineleri hedeflemeye hizmet eden belirli filtreleme kriterlerine tabidir.

Araştırmacılar, “Kodda gerçekten öne çıkan şey, ‘10.20.22’ alt dizesini içeren IP adreslerine sahip makinelerin kasıtlı olarak hedeflenmesidir” dedi. “

“Bu, saldırgan için hangi belirli cihazların değerli olduğunu, yani 10.20.22 alt ağlarındaki cihazları vurgular.[0-9].[0-255]. Bu bilgileri ağ günlükleriyle ve dosyanın bulunduğu cihazların IP adresleriyle ilişkilendirerek, saldırganın yalnızca VPN alt ağındaki cihazların etkilendiğinden emin olmak için bu filtreleme mekanizmasını kullandığı sonucuna vardık.”



siber-2

Poco X6 ve M6, oyun ve sosyal medyaya yönelik yeni orta sınıf akıllı telefonlar
Valve tarafından engellendiği iddia edilen Ukrayna savaşına dayalı CSGO haritası
King Arthur: Legends Rise, Unreal Engine 5’te Arthur Lore’u Yeniden Tasarlıyor
Persona 3 Reload Steam Deck uyumlu mu?
Pazarlamacıların yeni eldorado?
ETİKETLENDİ:ağ güvenliğiAPT41bilgi Güvenliğibilgisayar GüvenliğiÇinlifidye yazılımı kötü amaçlı yazılımhack haberlerihacker haberleriHackerlarıiçinKazançkumarmalınasıl hacklenirSektörünüsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberleriSiber güvenlik haberleri bugünSiber Haberlersiber saldırılarUlusDevletveri ihlaliVurduyazılım güvenlik açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Bangladeş’teki Rooppur nükleer santralindeki reaktörün montajı tamamen tamamlandı
Sonraki Makale Nintendo Switch ve PC için 8BitDo N64 Bluetooth Denetleyici Amazon’da Ön Siparişe Hazır

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Acil: ABD, Rusya’nın Güvenli Hosting Operatörlerine İhtiyaç Duyuyor!
Siber Güvenlik
Laravel (Blade/Livewire/React) için bir GDPR çerez onay paketi oluşturuldu — geri bildirim bekleniyor
Yazılım
Yenilenen Parry Mekaniğiyle Oyun Deneyimini Zirveye Taşıyor
Oyun
Starlink V5 Anteni Artık Satışta – Nasıl Karşılaştırılıyor?
Liste
Acil: SonicWall SMA 1000’deki 2 Kritik Açık Sızdırıldı!
Siber Güvenlik
Chegg Kupon Kodları Temmuz 2026: Eğitim ve Kitaplarda Tasarruf Yapın!
Genel
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?