APT32 olarak da bilinen Güneydoğu Asya Gelişmiş Kalıcı Tehdit (APT) Grubu Oceanlotus, Çin siber güvenlik profesyonellerine karşı sofistike bir zehir saldırısı yapmak için GitHub’ı kullandığı belirlendi.
Tehdit Kitabı Araştırma ve Müdahale Ekibi, Eylül 2024’ün ortalarında hain yayılmasına başlayan bu olayı titizlikle analiz etti ve bu da çeşitli Çin endüstrilerine hedefli bir saldırıya neden oldu.
Yeni Saldırı Metodolojileri
Saldırganlar ustaca kötü niyetli bir .suo Dosya, derleme üzerine yürütülmesini tetikleyen bir Visual Studio projesi içinde.
.png
)
Bu yaklaşım, siber güvenlik uzmanlarına karşı geliştirme araçlarının yenilikçi kullanımını sergileyen Oceanlotus için bir ilke işaret ediyor.
. .suo Dosya genellikle proje dosyalarını açarken Visual Studio tarafından yüklenir ve gömülü kötü amaçlı kodun otomatik olarak yürütülmesini kolaylaştırır, bu da daha sonra algılamayı önlemek için silinir.
Hedefleme stratejisi
Tanınmış bir Çinli fintech şirketinden bir güvenlik araştırmacısı kisvesi altında faaliyet gösteren saldırgan, Ekim 2024’te 0xjiefeng adlı bir GitHub hesabı oluşturdu.
Bu hesap, çeşitli güvenlik aracı projelerini zorladı ve geri çekilmiş kobalt grev eklentileri olan araçlar yayınladı, Çin siber güvenlik topluluğundan hedefleri, güvenlik araçlarını geliştirme konusunda aldatıcı bir anlatı ile yem.
Uzlaşma Göstergeleri (IOCS)
Tehdit defteri, tespit için temel uzlaşma (IOCS) göstergelerini belirlemiştir:
- Github Hesabı:
0xjiefeng - Kötü amaçlı dosyalar:
TraceIndexer.exeVeTTDReplay.dlliçindeC:\Users\Public\TTDIndexerX64\ - Autostart Kayıt Defteri: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ TTDIndexerx64
- C2 İletişim: Saldırı, belirli bir Page_ID ile Notion API’sinden yararlanır
11f5edabab708090b982d1fe423f2c0b. - IP adresleri ve bağlantı noktaları: Birden fazla C2 sunucusu kullanılır,
190.211.254.203:4443–45.41.204.18:8443ve diğerleri.
Bu olay, Çin’in siber güvenlik topluluğundaki kötü niyetli kodun geniş bir şekilde yayılmasına yol açtı.
Çok sayıda blog ve platform, geri alınan projeleri yanlışlıkla paylaşarak saldırının erişimini artırdı.
Saldırgan, Çin’in açıklamaları ve talimatları hazırlamak için makine çevirilerinden yararlandı ve yemi hedef kitle için daha cazip hale getirdi.
Saldırı, GitHub’ın güvenini açık kaynaklı kod için bir depo olarak kullanmakla kalmadı, aynı zamanda Visual Studio gibi popüler geliştirme ortamlarına olan güveni de manipüle etti.
Saldırı, kötü amaçlı kodları proje ayarları içine yerleştirerek, bu araçların otomatik yükleme mekanizmalarından, uzaktan kontrol yeteneklerini başlatmak ve zekayı çalmak için, öncelikle Çin’deki büyük teknoloji işletmelerine ve siber güvenlik araştırma gruplarına yönelik olarak kullandı.
Bu olay, geliştirme ve koruma için tasarlanmış araçların bile devlet destekli aktörler tarafından silahlandırılabileceği siber tehditlerin gelişen manzarasının kesin bir hatırlatıcısı olarak hizmet vermektedir.
Siber güvenlik profesyonelleri ve kuruluşları, sistemlerini ve araçlarını güncelleyerek ve benzer sofistike saldırıları engellemek için tehdit defteri tarafından sağlananlar gibi sağlam tehdit algılama mekanizmalarını entegre etmeleri istenir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!