Çin devlet destekli olduğundan şüphelenilen bir aktör, en az Mart 2022’den beri devam eden bir kampanyanın parçası olarak bir dijital sertifika yetkilisinin yanı sıra Asya’nın farklı ülkelerinde bulunan hükümet ve savunma kurumlarını ihlal etti.
Broadcom Software tarafından geliştirilen Symantec, saldırıları, adı altında takip ettiği düşmanca bir grupla ilişkilendirdi. fatura hatası, daha önce bu aktöre atfedilen araçların kullanımına atıfta bulunuyor. Faaliyetin casusluk ve veri hırsızlığı tarafından yönlendirildiği görülüyor, ancak bugüne kadar hiçbir verinin çalınmadığı söylenmiyor.
Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon ve Thrip olarak da adlandırılan Billbug, Çin çıkarları adına faaliyet gösterdiğine inanılan gelişmiş bir kalıcı tehdit (APT) grubudur. Birincil hedefler, Güneydoğu Asya’daki hükümet ve askeri kuruluşları içerir.
2019’da düşman tarafından düzenlenen saldırılar, Hong Kong, Makao, Endonezya, Malezya, Filipinler ve Vietnam’da gözlemlenen izinsiz girişlerle Hannotog ve Sagerunex gibi arka kapıların kullanımını içeriyordu.
Tehdit aktörünün hassas bilgileri sızdırmak için belirli durumlarda Catchamas olarak bilinen bir bilgi hırsızı kullandığı bilinse bile, her iki implant da kurban ağına kalıcı uzaktan erişim sağlamak üzere tasarlanmıştır.
Symantec araştırmacıları, “Bir sertifika yetkilisinin hedeflenmesi dikkat çekicidir, sanki saldırganlar sertifikalara erişmek için sertifikayı başarıyla ele geçirebilmişler ve bunları potansiyel olarak kötü amaçlı yazılımları geçerli bir sertifikayla imzalamak için kullanabilirler ve kurban makinelerde tespit edilmesini engellemeye yardımcı olabilirler,” dedi. The Hacker News ile paylaşılan bir rapor.
“Ayrıca HTTPS trafiğini engellemek için güvenliği ihlal edilmiş sertifikaları da kullanabilir.”
Ancak siber güvenlik şirketi, Billbug’un dijital sertifikaları tehlikeye atmakta başarılı olduğunu gösteren hiçbir kanıt olmadığını kaydetti. Faaliyetin ilgili makamlara bildirildiği belirtildi.
En son saldırı dalgasının analizi, ilk erişimin büyük olasılıkla internete yönelik uygulamaların istismar edilmesi yoluyla elde edildiğini ve ardından operasyonel hedeflere ulaşmak için ısmarlama ve arazide yaşayan araçların bir kombinasyonunun kullanıldığını gösteriyor.
Bu, WinRAR, Ping, Traceroute, NBTscan, Certutil gibi yardımcı programların yanı sıra rastgele dosyaları indirebilen, sistem bilgilerini toplayabilen ve şifrelenmiş verileri yükleyebilen bir arka kapı içerir.
Saldırılarda ayrıca, Stowaway adlı açık kaynaklı çok sekmeli bir proxy aracı ve Hannotog aracılığıyla makineye bırakılan Sagerunex kötü amaçlı yazılımı da tespit edildi. Arka kapı, keyfi komutları çalıştırmak, ek yükleri bırakmak ve ilgili dosyaları sifonlamak için donatılmıştır.
Araştırmacılar, “Bu aktörün aynı anda birden fazla kurbanı tehlikeye atma yeteneği, bu tehdit grubunun, sürekli ve geniş kapsamlı kampanyalar yürütme yeteneğine sahip, yetenekli ve iyi kaynaklara sahip bir operatör olmaya devam ettiğini gösteriyor.”
“Billbug, geçmişte grupla bağlantılı olan araçları yeniden kullanarak, bu etkinliğin kendisine atfedilme olasılığından da caydırılmamış görünüyor.”