Palo Alto Networks’teki araştırmacılar, Çin bağlantılı bir siberlik grubunun Microsoft Exchange e-posta sunucularına girerek dış bakanlıkları, elçilikleri ve askeri ile ilgili iletişimi hedeflediğini söylüyor.
Şirketin Tehdit İstihbarat Ekibi tarafından Phantom Boğa adlı grup yaklaşık üç yıldır takip edildi. Araştırmacılar, bilgisayar korsanlarının değişim sistemlerine erişim kazandığını ve özellikle elçiliklere, askeri operasyonlara ve diplomatik etkinliklere bağlı iletişimleri aradığını söylüyor.
Ünite 42, Phantom Toros’u Çin devlet destekli hack gruplarına bağlar ve altyapıya işaret eder Mustang Panda ve Winnti gibi tanınmış takımlarla örtüşüyor.
Hassas veriler için diplomatları hedeflemek
Ünite 42, Phantom Boğa operasyonlarının büyük ölçüde dışişleri, elçilikler ve savunma ve jeopolitik zekaya erişimi olan kuruluşlara odaklandığını bildirdi. Müfettişler, ihlallerin çoğunun büyük küresel etkinlikler veya bölgesel askeri gelişmeler sırasında veya hemen önünde gerçekleştiğini belirtti.
Grup ayrıca Afganistan, Pakistan ve Orta Doğu’daki ülkeler de dahil olmak üzere, Pekin için stratejik ilgi alanları olarak kaldı. Palo Alto Networks, hangi hükümetlerin etkilendiğini açıklamadı, ancak kampanyanın yüksek değerli hedeflere karşı daha geniş bir uzun vadeli casusluk modelini yansıttığını söyledi.
Farklı taktikler
Araştırmacılar, Phantom Boğa’nın diğer Çin APT gruplarından farklı çalıştığını söylüyor. Saldırganlar, uzun süre algılamadan kaçınmalarını sağlayan özel araçlara ve tekniklere güvenir.
Phantom Boğa da gerektiğinde yaklaşımını hızlı bir şekilde değiştirir, bu da araştırmacıların izlemesini zorlaştırır. Grubun amacı, istihbarat toplamaya devam ederken, bazen aylarca hassas sistemlere sessiz erişimi sürdürmektir.
Palo Alto’nun teknik analizine göre, e -posta verileri için değişim sunucularını hedeflemek dışında, grup yakın zamanda veritabanı koleksiyonuna genişledi. Araştırmacılar, SQL veritabanlarına bağlanan, dinamik sorgular çalıştıran ve dışa aktarma sonuçlarını kullanan özel komut dosyalarının kullanımını belgelediler.
Net yıldız kötü amaçlı yazılım
Ünite 42 ayrıca Microsoft Internet Bilgi Hizmetleri (IIS) sunucularını tehlikeye atmak için oluşturulan Net-Star adlı daha önce bilinmeyen bir kötü amaçlı yazılım paketi belirledi. Net-Star, doğrudan IIS işleminin içinde çalışan IIServerCore ve bellek yerleşik yükleyicileri adı verilen filessiz bir arka kapı kullanır, bu nedenle etkinlik disk yerine RAM’de kalır ve algılamayı çok zorlaştırır.
Bugcrowd baş stratejisi ve güven memuru Trey Ford, bunun gibi operasyonların savunucular için bir zorluk vurguladığını söyledi. Ford, “Kötüye kullanım ve istihbarat cihazı, Güvenlik Operasyon Merkezi’nde faaliyet gösteren standart algılama ve müdahale ekiplerinden biraz farklı bir dizi işletme önceliği ile çalışıyor” dedi.
Geleneksel müdahale ekipleri davetsiz misafirleri olabildiğince çabuk kaldırmayı amaçlasa da, istihbarat gruplarının bazen hedeflerini, araçlarını ve tekniklerini daha iyi anlamak için bir saldırganı izlemeye devam ettiğini açıkladı. Bazı durumlarda, kolluk kuvvetleri veya devlet ortakları da işlem yapılmadan önce genişletilmiş izleme talep edebilir.