Çin bağlantılı olduğundan şüphelenilen bir siber casusluk grubunun, kod adı verilen bir kampanyanın parçası olarak Güney Avrupa’daki büyük işletmeler arası BT hizmet sağlayıcılarını hedef alan saldırılara atfedildiği belirtiliyor. Dijital Göz Operasyonu.
Siber güvenlik şirketleri SentinelOne SentinelLabs ve Tinexta Cyber, The Hacker News ile paylaşılan ortak raporda, izinsiz girişlerin 2024 yılının Haziran ayı sonundan Temmuz ortasına kadar gerçekleştiğini belirterek, faaliyetlerin veri sızdırma aşamasına geçmeden önce tespit edilip etkisiz hale getirildiğini ekledi.
Güvenlik araştırmacıları Aleksandar Milenkoski ve Luigi Martire, “İzinsiz girişler, düşmanların stratejik dayanaklar oluşturmasına ve aşağı havzadaki birimleri tehlikeye atmasına olanak tanımış olabilir.” dedi.
“Tehdit aktörleri C2 için Visual Studio Code ve Microsoft Azure altyapısını kötüye kullandı [command-and-control] amaçlarla, kötü niyetli faaliyetleri meşru göstererek tespitten kaçmaya çalışmak.”
Saldırıların arkasında Çin bağlantılı hangi bilgisayar korsanlığı grubunun olduğu şu anda bilinmiyor; bu, Doğu Asya ülkesiyle uyumlu tehdit aktörleri arasındaki yaygın araç seti ve altyapı paylaşımı nedeniyle karmaşık bir durum.
Digital Eye Operasyonunun merkezinde, C2 için Microsoft Visual Studio Code Remote Tunnels’ın silah haline getirilmesi yer alıyor; bu, uç noktalara uzaktan erişim sağlayan, saldırganlara rastgele komutlar yürütme ve dosyaları değiştirme yeteneği veren meşru bir özelliktir.
Devlet destekli bilgisayar korsanlarının bu tür genel bulut altyapısını kullanmalarının bir nedeni de, etkinliklerinin ağ savunucularının gördüğü tipik trafiğe uyum sağlamasıdır. Ayrıca bu tür etkinlikler, uygulama kontrolleri ve güvenlik duvarı kuralları tarafından engellenmeyen meşru yürütülebilir dosyalar kullanır.
Şirketler tarafından gözlemlenen saldırı zincirleri, internete yönelik uygulamaları ve veritabanı sunucularını ihlal etmek için SQL enjeksiyonunun ilk erişim vektörü olarak kullanılmasını gerektiriyor. Kod enjeksiyonu, SQL enjeksiyon kusurlarını tespit etme ve kullanma sürecini otomatikleştiren SQLmap adı verilen yasal bir sızma testi aracı aracılığıyla gerçekleştirilir.
Başarılı bir saldırıyı, tehdit aktörlerinin tutunmasını ve kalıcı uzaktan erişim kurmasını sağlayan PHPsert adlı PHP tabanlı bir web kabuğunun konuşlandırılması izler. Sonraki adımlar, keşif, kimlik bilgileri toplama ve Uzak Masaüstü Protokolü (RDP) ve karma geçiş tekniklerini kullanarak ağdaki diğer sistemlere yanal hareketi içerir.
Araştırmacılar, “Karma geçişi saldırıları için Mimikatz’ın özel olarak değiştirilmiş bir versiyonunu kullandılar” dedi. Araç, “kullanıcının gerçek şifre ihtiyacını atlayarak, tehlikeye atılmış bir NTLM şifre karmasından yararlanarak, bir kullanıcının güvenlik bağlamında süreçlerin yürütülmesini sağlar.”
Önemli kaynak kodu örtüşmeleri, ısmarlama aracın, Yumuşak Hücre Operasyonu ve Tainted Love Operasyonu gibi yalnızca şüpheli Çin siber casusluk faaliyetlerinde gözlemlenenlerle aynı kaynaktan geldiğini gösteriyor. Paylaşılan kod imzalama sertifikalarını ve benzersiz özel hata mesajlarının veya gizleme tekniklerinin kullanımını da içeren bu özel Mimikatz değişiklikleri, toplu olarak mimCN olarak adlandırılmıştır.
Araştırmacılar, “MimCN örneklerinin uzun vadeli gelişimi ve versiyonlanması, ayrı bir operatör ekibine bırakılan talimatlar gibi dikkate değer özelliklerle birlikte, takımların aktif bakımı ve tedariğinden sorumlu ortak bir satıcının veya dijital malzeme sorumlusunun katılımını öneriyor.” dikkat çekti.
“Çin APT ekosistemindeki I-Soon sızıntısıyla da doğrulanan bu işlev, muhtemelen Çin-nexus siber casusluk operasyonlarının kolaylaştırılmasında önemli bir rol oynuyor.”
Saldırganların kimlik doğrulaması yapmak ve tünele bağlanmak için GitHub hesaplarını kullanarak, güvenliği ihlal edilmiş uç noktaya Visual Studio Code’un tarayıcı tabanlı sürümü aracılığıyla eriştiği, uzaktan komut yürütme için SSH ve Visual Studio Code Uzak Tünellerine güvenilmesi de dikkate değerdir ( “vscode[.]geliştirici”).
Bununla birlikte, tehdit aktörlerinin tünellerde kimlik doğrulaması yapmak için yeni kaydolmuş veya zaten güvenliği ihlal edilmiş GitHub hesaplarını kullanıp kullanmadığı bilinmiyor.
MimCN’nin yanı sıra, Çin’e işaret eden diğer yönlerden bazıları PHPsert’te basitleştirilmiş Çince yorumların varlığı, Rumen barındırma hizmeti sağlayıcısı M247 tarafından sağlanan altyapının kullanılması ve Visual Studio Code’un arka kapı olarak kullanılmasıdır. Mustang Panda oyuncusuna atfedildi.
Ayrıca soruşturma, operatörlerin hedeflenen kuruluşların ağlarında öncelikle Çin’deki tipik çalışma saatlerinde, çoğunlukla sabah 9 ile akşam 21:00 (CST) arasında aktif olduklarını ortaya çıkardı.
Araştırmacılar, “Kampanya, diğer sektörlere veri, altyapı ve siber güvenlik çözümleri sağlayan kuruluşların ihlal edilmesi, saldırganlara dijital tedarik zincirinde bir dayanak noktası sağlayarak erişimlerini alt kuruluşlara kadar genişletmelerine olanak tanıdığından, bu tehdidin stratejik yapısının altını çiziyor.” söz konusu.
“Bu kampanyada Visual Studio Code Uzaktan Tünellerinin kötüye kullanılması, Çinli APT gruplarının tespitten kaçınmak için sıklıkla pratik, çözüm odaklı yaklaşımlara nasıl güvendiğini gösteriyor. Tehdit aktörleri, güvenilir bir geliştirme aracı ve altyapısından yararlanarak, kötü amaçlı faaliyetlerini meşru gibi gizlemeyi amaçladı “