Earth Ammit: Siber Casusluk Grupları ve Yeni Tehditler
Son yıllarda, siber saldırılar ve casusluk faaliyetleri hızla artarak dünya genelindeki birçok kurumu hedef alıyor. Earth Ammit olarak bilinen bir siber casusluk grubunun, 2023 ile 2024 yılları arasında Tayvan ve Güney Kore’deki çeşitli sektörleri hedef alan iki ayrı kampanya yürüttüğü bildirilmektedir. Bu kampanyalar, askeri, uydu, ağır sanayi, medya, teknoloji, yazılım hizmetleri ve sağlık sektörlerini kapsıyor.
VENOM ve TIDRONE: Yeni Siber Tehditler
Siber güvenlik firması Trend Micro, bu kampanyalarda iki ana dalga ön plana çıkıyor. İlk dalga, VENOM kod adıyla biliniyor ve bu dalga, yazılım hizmet sağlayıcılarını hedef alıyor. İkinci dalga ise TIDRONE olarak adlandırılıyor ve askeri sanayiye odaklanıyor. Earth Ammit, Çince konuşan ulus-devlet gruplarıyla bağlantılı olarak değerlendiriliyor.
VENOM kampanyasında, Earth Ammit’in yaklaşımı, drone tedarik zincirinin üst segmentine sızmaktan oluşuyor. Uzmanlar, bu grubun uzun vadeli amacının, güvenilir ağları tedarik zinciri saldırılarıyla ele geçirmek ve böylece yüksek değerli varlıkları hedef almak olduğunu belirtiyor.
TIDRONE Kampanyasının Detayları
TIDRONE kampanyası, Trend Micro tarafından geçen yıl ifşa edildi ve Tayvan’daki drone üreticilerine yönelik yapılan saldırılara dikkat çekti. Bu saldırılarda CXCLNT ve CLNTEND adlı özel yazılımlar kullanıldı. AhnLab tarafından yapılan bir sonraki rapor ise 2024 yılının Aralık ayında Güney Kore’deki şirketlere karşı CLNTEND kullanımını detaylandırdı.
Bu saldırılar, drone tedarik zincirini hedef alarak, askeri ve uydu endüstrilerine sızmayı amaçlıyor. Bazı olaylarda, zararlı yazılımların dağıtımı için güvenilir iletişim kanalları kullanıldığı görülüyor. Örneğin, uzaktan izleme veya IT yönetim araçları gibi yöntemlerle zararlı yazılımlar aktarılmaktadır.
VENOM Kampanyasının Özellikleri
VENOM kampanyası, web sunucu güvenlik açıklarından yararlanarak web kabukları bırakma ve bu erişimi kullanarak uzaktan erişim araçları (RAT) kurma ile karakterize edilmektedir. Open-source araçlar olan REVSOCK ve Sliver gibi yazılımların kullanılması, suistimal işlemlerinin izini bulmayı zorlaştırmayı amaçlamaktadır. VENOM kampanyasında görülen tek özelleştirilmiş zararlı yazılım, FRPC’nin özelleştirilmiş bir versiyonu olan VENFRPC’dir.
Kampanyanın nihai amacı, ihlal edilen ortamlardan kimlik bilgilerini çalmak ve bu bilgileri TIDRONE aşamasına yönlendirmek için bir basamak olarak kullanmaktır. TIDRONE kampanyası üç aşamada gerçekleştirilir:
- İlk Erişim: Servis sağlayıcılarını hedefleyerek zararlı kod enjekte etme.
- Komut ve Kontrol: CXCLNT ve CLNTEND arka kapılarını dağıtmak için bir DLL yükleyici kullanma.
- Sonrası İstismar: Kalıcılık sağlama, ayrıcalıkları artırma ve antivirus yazılımını devre dışı bırakma gibi işlemleri içerir.
Trend Micro, CXCLNT’nin çekirdek işlevselliğinin, modüler bir eklenti sistemi üzerine kurulu olduğunu belirtmektedir. Bu sistem, etkisinin genişletilmesi için saldırganın amacına bağlı olarak yeni eklentilerin alınmasını sağlıyor.
Swan Vector: Tayvan ve Japonya’ya Yönelik Tehditler
Bu açıklamaların hemen ardından, Seqrite Labs, Swan Vector adında yeni bir siber casusluk kampanyasının detaylarını açıkladı. Bu kampanya, Tayvan ve Japonya’da eğitim kurumları ile makine mühendisliği sektörünü hedef alıyor. Spear-phishing e-postaları aracılığıyla sahte özgeçmişlerle Pterois adlı bir DLL implantı dağıtıyor. Bu implant, Cobalt Strike shellcode’unu indirmek üzere kullanılıyor.
Pterois, Google Drive’dan başka bir zararlı yazılım olan Isurus‘u indirmek için de tasarlanmıştır. Bu kampanya, orta düzey güvenle Doğu Asya menşeli bir tehdit aktörü ile ilişkilendirilmektedir. Araştırmacı Subhajeet Singha, bu siber aktörün Tayvan ve Japonya’daki birçok işe alma merkezini hedef aldığını belirtmektedir.
Bu tür saldırılar, siber güvenlik alanındaki tehditlerin sürekli evrildiğini ve yeni stratejilerle zenginleştiğini göstermektedir. Sonuç olarak, bu tür siber casusluk faaliyetlerine karşı sürekli bir farkındalık ve önlem almak, hem devletler hem de özel sektör için kritik önem taşımaktadır.
