Şüpheli bir Çinli tehdit aktörü, dört ay süren bir saldırının parçası olarak bu yılın başlarında büyük bir ABD kuruluşunu hedef aldı.
Broadcom’un sahibi olduğu Symantec’e göre, kötü niyetli aktiviteye dair ilk kanıt 11 Nisan 2024’te tespit edildi ve Ağustos ayına kadar devam etti. Ancak şirket, izinsiz girişin daha önce gerçekleşmiş olabileceği ihtimalini de göz ardı etmiyor.
Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaşılan bir raporda, “Saldırganlar kuruluşun ağında yanal olarak hareket ederek birden fazla bilgisayarı tehlikeye attı” dedi.
“Hedef alınan makinelerden bazıları Exchange Sunucularıydı; bu, saldırganların e-postaları toplayarak istihbarat topladıklarını gösteriyor. Ayrıca, hedeflenen verilerin kuruluşlardan alındığını öne süren sızma araçları da kullanıldı.”
Sürekli saldırı kampanyasından etkilenen örgütün adı açıklanmadı ancak kurbanın Çin’de önemli bir varlığının olduğu belirtildi.
Potansiyel suçlu olarak Çin ile olan bağlantılar, çeşitli Çinli tehdit grupları arasında tercih edilen bir taktik olan DLL yan yüklemesinin kullanılmasından ve daha önce Kızıl Saray kod adlı devlet destekli bir operasyonla bağlantılı olarak kullanıldığı tanımlanan eserlerin varlığından kaynaklanmaktadır.
Bir başka ilgi çekici nokta ise örgütün 2023 yılında Bronze Highland, Evasive Panda ve StormBamboo olarak da anılan Daggerfly adlı Çin merkezli başka bir hack ekibiyle geçici bağlantısı olan bir saldırgan tarafından hedef alınmasıydı.
Saldırı, kötü amaçlı yükleri yürütmek için DLL yandan yüklemesinin yanı sıra, FileZilla, Impacket ve PSCP gibi açık kaynaklı araçların kullanımını gerektirirken aynı zamanda Windows Yönetim Araçları (WMI) gibi arazide yaşayan (LotL) programlardan da yararlanıyor. , PsExec ve PowerShell.
Ağı ihlal etmek için kullanılan tam başlangıç erişim mekanizması bu aşamada bilinmiyor. Bununla birlikte Symantec’in analizi, ilk güvenlik ihlali göstergelerinin tespit edildiği makinenin, ağdaki başka bir sistemden WMI aracılığıyla çalıştırılan bir komut içerdiğini ortaya çıkardı.
Şirket, “Komutun ağdaki başka bir makineden gelmesi, saldırganların kuruluşun ağındaki en az bir makineyi daha ele geçirdiğini ve saldırının 11 Nisan’dan önce başlamış olabileceğini gösteriyor” dedi.
Saldırganlar tarafından daha sonra gerçekleştirilen diğer kötü amaçlı faaliyetlerden bazıları, kimlik bilgileri hırsızlığından, kötü amaçlı DLL dosyalarının yürütülmesine, Microsoft Exchange sunucularının hedef alınmasına ve FileZilla, PSCP ve WinRAR gibi araçların indirilmesine kadar uzanıyordu.
Symantec, “Saldırganların özellikle ilgilendiği bir grup ‘Exchange sunucuları’dır, bu da saldırganların e-posta verilerini toplamak ve muhtemelen sızdırmak için posta sunucularını hedef almaya çalıştıklarını gösteriyor” dedi.
Bu gelişme, Orange Cyberdefense’in Çin siber saldırı ekosistemi içindeki özel ve kamusal ilişkileri ayrıntılı bir şekilde ayrıntılarıyla anlatması ve aynı zamanda üniversitelerin güvenlik araştırmaları için oynadığı rolün ve devlet kurumlarının yönetimi altında saldırılar gerçekleştirmek için hack-for-kira yüklenicilerinin oynadığı rolün vurgulanmasıyla birlikte geliyor.
“Birçok durumda, bağlantılı kişiler [Ministry of State Security] veya [People’s Liberation Army] Birimler, kampanyalarının Çin devletine atfedilmesini gizlemek için sahte şirketleri kayıt altına alıyor” dedi.
“Gerçek anlamda kar amacı gütmeyen bu sahte girişimler, siber saldırıların istenmeyen dikkat çekmeden gerçekleştirilmesi için gerekli dijital altyapının sağlanmasına yardımcı olabilir. Aynı zamanda bilgisayar korsanlığı operasyonlarını destekleyen roller için personel alımında da paravan görevi görüyor.”