Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
APT’ler İsimsiz Asya Ülkesinin Kritik Altyapısını ve Sağlık Sektörünü Hedef Aldı
Jayant Chakravarti (@JayJay_Tech) •
26 Eylül 2023
Üç şüpheli Çinli casusluk aktörü, isimsiz bir Güneydoğu Asya ülkesinin kritik altyapısına, sağlık hizmetlerine ve hükümet kuruluşlarına karşı bir dizi siber saldırıyı hedefledi. Araştırmacılar, saldırıları yabancı hükümetlere yönelik casusluk saldırılarıyla tanınan APT grubu Mustang Panda’ya bağladı.
Ayrıca bakınız: İnfografik I Siber Teyakkuz için En İyi 6 Uygulama
Palo Alto Ağı’nın Birim 42 araştırmacıları, 2023’ün başlarında, üç farklı Çinli siber casusluk grubunun (Mustang Panda, Gallium ve Gelsemium) tek bir Güneydoğu Asya ülkesini hedef alan eşzamanlı siber operasyonlar yürüttüğüne dair kanıtlar buldu. Casusluk aktörleri, saldırıları başlatmadan önce hedeflerini uzun süreli gözetledi.
Araştırmacılar birçok saldırıyı, Palo Alto’nun Görkemli Taurus olarak takip ettiği Çinli gelişmiş kalıcı tehdit grubu Mustang Panda’ya bağladı. Siber casusluk grubu ilk olarak 2021’in ilk çeyreğinde ortaya çıktı ve kurban ağlarında istihbarat toplamak ve kalıcılığı sürdürmek için genellikle ToneShell ve ShadowPad arka kapılarını kullanıyor.
Mustang Panda, tarihsel olarak yabancı hükümetlere, sivil toplum kuruluşlarına ve Çin çıkarlarına düşman olduğu düşünülen gruplara yönelik casusluk saldırılarıyla ilişkilendirilmiştir. Güvenlik firması Eset, Mart ayında grubun Avrupa ve Asya’daki devlet kuruluşlarına yönelik saldırılarda daha önce görülmemiş bir kötü amaçlı yazılım arka kapısı kullandığını bildirdi (bkz: Çin APT Grubu Yeni Kötü Amaçlı Yazılım Arka Kapısını Dağıtıyor).
Birim 42 araştırmacıları ayrıca, yaygın olarak Gallium olarak bilinen ve Palo Alto tarafından Alloy Taurus APT olarak takip edilen başka bir Çinli siber casusluk grubunun, kurban ağlarında kalıcılık sağlamak için bir dizi yeni arka kapı ve hackleme araçları kullanarak paralel bir casusluk kampanyası yürüttüğünü orta derecede bir güvenle bildirdi. keşif yapmak.
Gallium, hedef ortamlar için özel olarak hazırlanmış kötü amaçlı yazılımların enjeksiyonunu kolaylaştıran çok sayıda web kabuğunu dağıtmak için Exchange Server’daki güvenlik açıklarını kullanarak casusluk kampanyasını 2022’nin başlarında başlattı.
Casusluk grubu ayrıca hedeflenen kuruluşların ağlarına sızmak için Zapoa ve ReShell adı verilen iki arka kapıyı, GhostCringe ve Quasar gibi uzaktan erişim Truva atlarını ve kaba kuvvet aracı Kerbrute’u da kullandı. Bilgisayar korsanları bu araçları kimlik bilgilerini çalmak, ağların içinde yanal olarak hareket etmek ve etki alanı denetleyicilerine erişim sağlamak için kullandı.
“Etkinlik analizimiz, tehdit aktörünün dalgalar halinde saldırdığı tekrarlayan bir saldırı tarzı gösterdi. Her dalga, web sunucusunun istismar edilmesinin yanı sıra web kabuklarının kurulumu ve keşifle başladı. Bunu daha sonra ek araçların konuşlandırılması izledi. ” dedi araştırmacılar.
Gelsemium APT grubu ayrıca 2022’nin 3. ve 4. çeyreği arasında casusluk faaliyeti yürüttü; özellikle savunmasız IIS sunucularını hedef aldı ve gizli keşif yürütmeye ve hedeflenen ağlara kalıcı erişimi sürdürmeye odaklandı.
Siber casusluk grubunun bu kampanyaya katılımı, nadiren görülen iki arka kapı olan OwlProxy ve SessionManager’ın kullanılmasıyla doğrulandı. Daha önce gruba atfedilen bu kişiler, 2020’de Laos’taki çeşitli kuruluşları hedef alan bir casusluk kampanyasında gözlemlenmişti.
SessionManager, operatörlerinin güvenliği ihlal edilmiş bir web sunucusundan dosya yüklemesine ve indirmesine, komutları çalıştırmasına ve ağdaki ek sistemlerle iletişim kurmak için web sunucusunu proxy olarak kullanmasına olanak tanıyan özel bir arka kapıdır. OwlProxy kötü amaçlı yazılımı aynı zamanda arka kapı işlevine sahip bir HTTP proxy’sidir ve Nisan 2020’de Tayvan hükümetini hedef alan bir saldırıda kullanılmıştır.
Gelsemium ayrıca kötü amaçlı yazılımların komuta ve kontrol sunucusuyla iletişim kurmasını ve komutları yürütmesini, etkilenen ağın yerel alan ağını C2 sunucusuna bağlamasını ve bir güvenlik açığından yararlanmasını sağlamak için Cobalt Strike, SpoolFool ve EarthWorm gibi çeşitli bilgisayar korsanlığı araçlarını da kullandı. Windows Yazdırma Biriktiricisi’nde yönetici hesapları oluşturmaya yönelik ayrıcalık yükselmesi güvenlik açığı.