10 aylık kampanya, 7 küresel hedef, 5 kötü amaçlı yazılım ailesi


21 Mart 2025Ravie LakshmananSiber suç / siber casusluk

Çin bağlantılı apt

Çin bağlantılı ileri kalıcı tehdit (APT) grubu. olarak bilinen Su panda 2022’de yedi kuruluşu hedefleyen bir “küresel casusluk kampanyası” ile bağlantılıdır.

Bu varlıklar arasında hükümetler, Katolik hayır kurumları, sivil toplum örgütleri (STK’lar) ve Tayvan, Macaristan, Türkiye, Tayland, Fransa ve Amerika Birleşik Devletleri’nde düşünce kuruluşları bulunmaktadır. Ocak ve Ekim 2022 arasında 10 aylık bir süre boyunca gerçekleşen etkinliğin ESET tarafından Fishmedley Operasyonu kodludur.

Güvenlik araştırmacısı Matthieu Faou bir analizde, “Operatörler, Çin uyumlu tehdit aktörlerine ortak veya özel olan Shadowpad, Sodamaster ve Spyder gibi implantları kullandı.” Dedi.

Siber güvenlik

Bronz Üniversitesi, Kömür Typhoon, Earth Lusca ve Redhotel olarak da adlandırılan Su Panda, Çin’den en az 2019’dan beri aktif olduğu bilinen bir siber casusluk grubudur. Slovakya Siber Güvenlik Şirketi, Balıksmonger adı altında hackleme ekibini izliyor.

Winnti Grubu Şemsiyesi (AKA APT41, Baryum veya Bronz Atlas) altında faaliyet gösterdiği söylenen tehdit oyuncusu, 2016’dan 2023’ten 2023’e kadar çok cisim kampanyalarına katıldıkları iddiasıyla ABD Adalet Bakanlığı (DOJ) tarafından suçlanan Çin yüklenici I-Soon tarafından da denetleniyor.

Düşman kolektifi, daha sonra Winnti Grubuna bağlı bir saldırı seti olan ShadowPad ve Winnti Malware kullanılarak Hong Kong’daki üniversiteleri hedefleyen 2019’un sonlarında bir kampanyaya geriye dönük olarak atfedildi.

2022 saldırıları, beş farklı kötü amaçlı yazılım ailesinin kullanımı ile karakterize edilir: Shadowpad, Spyder, Sodamaster ve Rpipecommander’ı bırakmak için kullanılan Scatterbee adlı bir yükleyici. Kampanyada kullanılan ilk erişim vektörü bu aşamada bilinmemektedir.

Siber güvenlik

“APT10, erişebildiği bilinen ilk gruptu [SodaMaster] Ancak Fishmedley Operasyonu, şimdi Çin’e uyumlu birden fazla APT grubu arasında paylaşılabileceğini gösteriyor. “Dedi.

Rpipecommander, Tayland’daki belirtilmemiş bir hükümet kuruluşuna karşı konuşlandırılan daha önce belgelenmemiş bir C ++ implantına verilen isimdir. CMD.EXE kullanarak komutları çalıştırabilen ve çıktıları toplayabilen bir ters kabuk olarak işlev görür.

FAOU, “Grup, Shadowpad veya Sodamaster gibi tanınmış implantları yeniden kullanma konusunda utangaç değil.

Bu makaleyi ilginç mi buldunuz? Bizi takip et Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link