Okyanusla ilgili çalışmalara odaklanan bilimsel araştırma organizasyonlarını hedefleyen “Deniz Fili Operasyonu” olarak adlandırılan sofistike bir siber casusluk kampanyası keşfedildi.
Güney Asya kökenli CNC olarak bilinen bir tehdit aktör grubuna atfedilen operasyon, Hint Okyanusu’nda bölgesel hakimiyeti sağlamak için değerli araştırma verileri çalmayı amaçlamaktadır.
CNC grubu, Güney Asya’da faaliyet gösteren diğer gelişmiş kalıcı tehdit (APT) gruplarına kıyasla önemli ölçüde artmış yetenekler göstermiştir.
Saldırıları giderek daha modüler hale geldi ve özelleştirildi, bu da tespitlerden muadillerinden daha etkili bir şekilde kaçınmalarını sağladı.
Qiaxin’deki güvenlik uzmanları, daha önce bilinen CNC operasyonlarıyla kod paylaşan UTG-Q-011 numaralı bir saldırı koleksiyonu belirlediklerinde kampanyayı 2014 ortalarında keşfetti.
Araştırmacılar, grubun öncelikle hedeflenen araştırmacılara gönderilen özenle hazırlanmış mızrak aktı e-postaları aracılığıyla ilk erişim kazandığını belgelediler.
Bir sistemden ödün verdikten sonra, saldırganlar kurbanın WeChat ve QQ gibi anlık mesajlaşma uygulamalarını, meslektaşlarına ve iş arkadaşlarına kötü amaçlı programlar dağıtmak için yanal olarak hareket eder.
.webp)
Sea Fil Operasyonunun teknik sofistike olması, çeşitli özel modüllerinde belirgindir.
Dikkate değer bir bileşen, meşru yazılım olarak maskelenen bir USB yayılma eklentisidir.
Bu modülü analiz ederken, araştırmacılar yeni bağlı USB sürücülerini sürekli olarak izleyen kod buldular:-
v182 = 0i64;
v183 = 15i64;
sub_7FF6D68B46B0(Buffer, 0, 0x100ui64)
GetLogicalDriveStringsA(0xFFu, Buffer[0].m128i_i8);
v29 = Buffer;
while ( 1 )
{
v30 = *((_QWORD *)&v176 + 1);
LABEL_28:
if ( !v29->m128i_i8[0] )
break;
Size = -1i64;
}Saldırganlar belirli belge türlerini hedefleyen birden fazla dosya eksfiltrasyon yöntemi tasarlamışlardır.
Sistem, .pdf, .doc, .docx, .ppt, .pptx ve .xls dahil olmak üzere uzantılı dosyaları tarar.
Sadece 40KB’den büyük dosyalar toplanır, bu da saldırganların basit yer tutucuları veya şablonlardan ziyade önemli içeriğe sahip belgeler için filtrelediğini gösterir.
Geri ihlal edilen sistemlerden çalınan belgeler, saldırganların iç dalga suyu taşımacılığı, okyanus sekestrasyonu ve deniz gelişen endüstriler de dahil olmak üzere çoklu deniz araştırma alanlarına olan ilgisini ortaya çıkardı.
Çalınan Windows tabanlı belgeler üretim verileri içermese de, yabancı istihbarat organizasyonlarına, hedeflenen araştırma ekiplerinin proje ilerlemesi, teknik yönü ve stratejik planlaması hakkında değerli bilgiler sağlarlar.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free