UNC6384: Çin’in Siber Tehdit Grubu ve Saldırı Taktikleri
Son dönemde, Çin merkezli bir siber tehdit grubu olan UNC6384’ın, Güneydoğu Asya’daki diplomatları ve dünya genelindeki diğer hedefleri hedef alan bir dizi saldırı gerçekleştirdiği ortaya çıkmış durumda. Bu grup, Çin’in stratejik çıkarlarını desteklemek amacıyla sosyal mühendislik tekniklerini kullanarak karmaşık bir saldırı zinciri oluşturmuştur. Google Tehdit İstihbarat Grubu’ndan Patrick Whitsell, bu çok aşamalı saldırıların, geçerli kod imzalama sertifikaları ve “adversary-in-the-middle” (AitM) saldırılarının yanı sıra dolaylı yürütme teknikleri kullanarak tespit edilmekten kaçındığını belirtiyor.
plugx Zararlısı ve Kullanımı
Saldırılarda kullanılan PlugX, bir arka kapı yazılımıdır. Dosya dışa aktarma, tuş kaydı, uzaktan komut shell’i başlatma ve dosya yükleme/indirme gibi birçok komutu destekler. PlugX variantı olan SOGU.SEC, bellek içinde dağıtılarak hedef sistemlere sızar. Uzun bir süredir Çinli hacker grupları tarafından kullanılan bu zararlı yazılım, en az 2008 yılından beri varlık göstermektedir. ShadowPad, PlugX’in ardılı olarak kabul edilmektedir. UNC6384’ın saldırı zinciri, AitM ve sosyal mühendislik taktiklerini kullanarak bu zararlı yazılımı dağıtmaktadır.
Saldırı Zincirinin Gelişimi
UNC6384’in saldırı zinciri, özellikle ağ geçidi üzerinden web trafiğini ele geçirmek için kullanılan bir captive portal yönlendirmesi ile karakterizedir. GTIG tarafından Mart 2025’te tespit edilen bu kampanya, STATICPLUGIN adında dijital olarak imzalanmış bir indirme yönlendirmesi ile başlamaktadır. STATICPLUGIN, web trafiğini saptırarak, kurbanların sistemlerine SOGU.SEC yüklemek için gerekli olan MSI paketini edinir. Bu aşamalar, özellikle hedefin web tarayıcısının internet bağlantısının arkasında bir captive portal olup olmadığını kontrol etmesi ile başlamaktadır.
Captive Portal Yönlendirmesi
Captured portal, kurbanların Adobe Plugin güncellemesi gibi görünen bir zararlı yazılımı indirmelerine neden olmak için kullanılan bir teknik olarak çalışmaktadır. Google Chrome tarayıcısında, captive portal işlevselliği, “www.gstatic.com/generate_204” URL’sine bir istek gönderilerek gerçekleşmektedir. Bu durum, kurbanları bir Wi-Fi giriş sayfasına yönlendirmektedir. Burada, “gstatic.com” geçerli bir Google alan adı olsa da, kötü niyetli aktörlerin AitM saldırıları gerçekleştirdiği düşünülmektedir.
Zararlı Yazılımın İndirilmesi
Kurban, yönlendirildikten sonra bir yazılım güncellemesi gerektiği konusunda yanıltılmakta ve zararlı yazılımı “plugin güncellemesi” olarak indirmeleri sağlanmaktadır. Yönlendirme sayfası, geçerli bir TLS sertifikası ile korunan mükemmel bir yazılım güncelleme sitesi görünümü taşımaktadır. Sonuç olarak, “AdobePlugins.exe” olarak adlandırılan bir çalıştırılabilir dosya indirilmektedir. Bu dosya, arka planda SOGU.SEC yükünü tetikler ve DLL tarafından yüklenen CANONSTAGER (“cnmpaui.dll”) aracılığıyla çalıştırılmaktadır.
Geçerli Sertifika Kullanımı ve Koruma Önlemleri
STATICPLUGIN indirme aracı, Chengdu Nuoxin Times Technology Co., Ltd. tarafından imzalanmış ve GlobalSign tarafından verilmiş geçerli bir sertifika ile korunmaktadır. Çin merkezli aktivite kümeleri tarafından kullanılan iki düzineden fazla zararlı yazılım örneği, bu imza ile etkin bir şekilde kullanılmıştır. Ancak, bu tür sertifikaların nasıl edinildiği henüz netliğe kavuşmamıştır.
Sonuç ve Uyarılar
UNC6384’ın yürüttüğü bu saldırı, siber tehditlerin sürekli olarak evrim geçirdiğini ve PRC merkezli tehdit aktörlerinin ne denli sofistike hale geldiğini gözler önüne sermektedir. AitM, geçerli kod imzalama ve çok katmanlı sosyal mühendislik tekniklerinin bir arada kullanılması, bu tehdit grubunun oldukça gelişmiş ve organize bir şekilde çalıştığını göstermektedir. Bu tür saldırılardan korunmak için bireylerin ve kuruluşların dikkatli olmaları, güncellemeleri doğrulayıcı kaynaklardan indirmeleri ve güvenlik yazılımlarını düzenli olarak güncellemeleri önemlidir.
