Çin kökenli bir ulus devlet faaliyet grubu, şüpheli bir casusluk kampanyası kapsamında Tayvan’daki düzinelerce kuruluşa yönelik siber saldırılarla ilişkilendirildi.
Microsoft Tehdit İstihbaratı ekibi bu isim altındaki etkinliği takip ediyor Keten TayfunuEthereal Panda olarak da bilinir.
Şirket, “Flax Typhoon, işletim sisteminde yerleşik araçlara ve bu ağlarda sessizce kalmak için normalde zararsız olan bazı yazılımlara dayanarak, minimum düzeyde kötü amaçlı yazılım kullanımıyla Tayvanlı kuruluşların ağlarına uzun vadeli erişim elde ediyor ve sürdürüyor.” dedi.
Ayrıca grubun, veri toplama ve sızmayı gerçekleştirmek için erişimi silah haline getirdiğini gözlemlemediğini söyledi. Hedeflerin çoğunluğu Tayvan’daki devlet kurumlarını, eğitim kurumlarını, kritik üretim ve bilgi teknolojisi kuruluşlarını içeriyor.
Güneydoğu Asya, Kuzey Amerika ve Afrika’da da daha az sayıda kurban tespit edildi. Grubun 2021 ortasından beri aktif olduğundan şüpheleniliyor.
CrowdStrike, hacker ekibiyle ilgili açıklamasında “Ethereal Panda operasyonları öncelikle Tayvan’daki akademik, teknoloji ve telekomünikasyon sektörlerindeki kuruluşlara odaklanıyor” diye belirtiyor. “Ethereal Panda, kurban ağlarına erişimi sürdürmek için ağırlıklı olarak SoftEther VPN yürütülebilir dosyalarına güveniyor, ancak aynı zamanda GodZilla web kabuğunu dağıttığı da gözlemlendi.”
Aktörün ana odak noktası kalıcılık, yanal hareket ve kimlik bilgilerine erişim etrafında döner; aktör, hedeflerini gerçekleştirmek için arazide yaşama (LotL) yöntemlerini ve uygulamalı klavye etkinliğini kullanır.
İşleyiş tarzı, tehdit aktörlerinin tespitten kaçınmak için yaklaşımlarını sürekli güncelleme, gereksiz indirme ve özel bileşenlerin oluşturulmasını önlemek için hedef ortamdaki mevcut araçlara güvenme uygulamalarıyla uyumludur.
İlk erişim, halka açık sunuculardaki bilinen güvenlik açıklarından yararlanılarak ve China Chopper gibi web kabukları dağıtılarak, ardından Uzak Masaüstü Protokolü (RDP) üzerinden kalıcı erişim kurularak, uzak bir sunucuya bağlanmak için bir VPN köprüsü dağıtılarak ve kimlik bilgileri toplanarak kolaylaştırılır. Mimikatz’ı kullanarak.
Saldırıların dikkate değer bir yönü, Yapışkan Tuşların Görev Yöneticisini başlatmak için davranışının değiştirilmesi ve böylece Flax Typhoon’un tehlikeye atılan sistem üzerinde istismar sonrası işlemleri gerçekleştirmesine olanak sağlamasıdır.
Windows yapımcısı, “Flax Typhoon’un ele geçirilen ağdaki diğer sistemlere erişmek için yanal olarak hareket etmesi gerektiği durumlarda aktör, Windows Uzaktan Yönetim (WinRM) ve WMIC dahil olmak üzere LOLBins’i kullanıyor” dedi.
Bu gelişme, Microsoft’un, radar altında uçmak ve veri sızdırmak için yalnızca LotL tekniklerine güvendiği gözlemlenen Volt Typhoon (diğer adıyla Bronze Silhouette veya Vanguard Panda) adlı Çin bağlantılı başka bir aktörü ifşa etmesinden üç ay sonra gerçekleşti.
Çin dışında faaliyet gösteren tehdit aktörleri arasında taktiklerin ve altyapının değişmesi alışılmadık bir durum olmasa da, bulgular, düşmanların takip eden operasyonlarında daha seçici olmak için ticari becerilerini değiştirdiği, sürekli gelişen bir tehdit manzarasının resmini çiziyor.