Çin merkezli olduğundan şüphelenilen bir tehdit aktörünün, en az Ekim 2023’ten bu yana Güneydoğu Asya’daki yüksek profilli kuruluşları hedef alan bir dizi siber saldırıyla bağlantısı olduğu belirlendi.
Symantec Tehdit Avcısı Ekibi, The Hacker News ile paylaştığı yeni bir raporda, casusluk kampanyasının iki farklı ülkedeki hükümet bakanlıklarını, bir hava trafik kontrol kuruluşunu, bir telekom şirketini ve bir medya kuruluşunu kapsayan çeşitli sektörlerdeki kuruluşları hedef aldığını söyledi.
Daha önce Çin merkezli gelişmiş kalıcı tehdit (APT) gruplarıyla bağlantılı olduğu belirlenen araçları kullanan saldırılar, hem açık kaynak hem de arazide yaşama (LotL) tekniklerinin kullanılmasıyla karakterize ediliyor.
Buna Rakshasa ve Stowaway gibi ters proxy programlarının yanı sıra varlık keşif ve tanımlama araçları, tuş kaydediciler ve şifre çalan yazılımlar da dahildir. Saldırılar sırasında ayrıca, çeşitli Çinli bilgisayar korsanlığı grupları tarafından kullanıma sunulan uzaktan erişim truva atı PlugX (diğer adıyla Korplug) da kullanıldı.
Symantec, “Tehdit aktörleri ayrıca kimlik doğrulama mekanizması filtreleri görevi gören özelleştirilmiş DLL dosyaları da yükleyerek oturum açma kimlik bilgilerini ele geçirmelerine olanak tanıyor” dedi.
Bir varlığı hedef alan ve Haziran ile Ağustos 2024 arasında üç ay süren saldırılardan birinde, saldırgan, keşif ve şifre dökümü faaliyetleri gerçekleştirirken, aynı zamanda bir keylogger kuruyor ve kullanıcı oturum açma bilgilerini yakalayabilen DLL yüklerini çalıştırıyordu.
Symantec, saldırganların ele geçirilen ağlara uzun süre boyunca gizli erişim sağlamayı başardıklarını, bu sayede parolaları toplamalarına ve ilgilendikleri ağları haritalandırmalarına olanak sağladığını belirtti. Toplanan bilgiler WinRAR kullanılarak şifre korumalı arşivlere sıkıştırıldı ve ardından File.io gibi bulut depolama hizmetlerine yüklendi.
Şirket, “Bu uzatılmış bekleme süresi ve hesaplı yaklaşım, tehdit aktörlerinin karmaşıklığını ve kararlılığını vurguluyor” dedi. “Hedeflenen kuruluşların coğrafi konumu ve daha önce Çin merkezli APT gruplarıyla bağlantılı araçların kullanımı, bu faaliyetin Çin merkezli aktörlerin işi olduğunu gösteriyor.”
Bu saldırıların belirli bir Çinli tehdit aktörüne atfedilmesindeki belirsizliğin, sıklıkla araç paylaşan ve benzer ticari yöntemleri kullanan siber casusluk gruplarını takip etmenin zorluğunu vurguladığını belirtmekte fayda var.
Güneydoğu Asya’da Güney Çin Denizi’nde devam eden bölgesel anlaşmazlıklar nedeniyle yaşanan jeopolitik gerilimler, Solmayan Deniz Haze, Mustang Panda, CeranaKeeper ve Kızıl Saray Operasyonu olarak takip edilen tehdit faaliyet gruplarının da gösterdiği gibi, bölgeyi hedef alan bir dizi siber saldırıyla tamamlandı.
Bu gelişme, SentinelOne SentinelLabs ve Tinexta Cyber’in, Çin bağlantılı bir siber casusluk grubu tarafından Dijital Göz Operasyonu adı verilen bir faaliyet kümesinin parçası olarak Güney Avrupa’daki büyük işletmeler arası BT hizmet sağlayıcılarını hedef alan saldırıları ifşa etmesinden bir gün sonra gerçekleşti.
Geçen hafta Symantec ayrıca, adı açıklanmayan büyük bir ABD kuruluşunun Nisan ve Ağustos 2024 arasında olası Çinli tehdit aktörleri tarafından ihlal edildiğini, bu süre zarfında ağ boyunca yanal olarak birden fazla bilgisayarı tehlikeye atarak potansiyel olarak veri sızdırdıklarını açıkladı.