Telekomünikasyon şirketlerini hedef alan Çin bağlantılı APT grubu Salt Typhoon’un bir başka şirkete gizlice girmeye çalıştığı görüldü.
İzinsiz giriş
İngiliz siber güvenlik şirketi Pazartesi günü yaptığı açıklamada, “Darktrace, bir Avrupa telekomünikasyon organizasyonunda, Salt Typhoon’un bilinen taktikleri, teknikleri ve prosedürleri (TTP’ler) ile tutarlı, dinamik bağlantı kütüphanesi (DLL) yüklemesi ve meşru yazılımın gizlilik ve yürütme amacıyla kötüye kullanılması da dahil olmak üzere faaliyetler gözlemledi” dedi.
Salt Typhoon’un katılımını gösteren diğer saldırı unsurları şunları içerir:
- İlk erişim için Citrix NetScaler Gateway cihazındaki bir güvenlik açığından yararlanılması (Salt Typhoon’un ağ ekipmanındaki genel olarak bilinen güvenlik açıklarından yararlanmasıyla bilinir)
- Farklı Çinli APT grupları tarafından paylaşılan bir araç olan SNAPPYBEE (aka Deed RAT) arka kapısının kullanımı
- Daha önce gruba bağlı olan komuta ve kontrol (C2) altyapısının kullanımı ve tespitten kaçınmak için standart dışı ve katmanlı protokollerin kullanılması (arka kapı, C2 için LightNode VPS uç noktalarını kullandı, hem HTTP hem de tanımlanamayan bir TCP tabanlı protokol üzerinden iletişim kurdu)
Saldırganlar, Temmuz 2025’te Citrix NetScaler Gateway cihazı aracılığıyla ilk erişimi elde ettikten sonra, istemcinin Makine Oluşturma Hizmetleri (MCS) alt ağındaki Citrix Virtual Delivery Agent ana bilgisayarlarının güvenliğini ihlal etmek için yanlamasına hareket etti.
Darktrace analistleri, “Arka kapı, bu dahili uç noktalara, Norton Antivirus, Bkav Antivirus ve IObit Malware Fighter gibi antivirüs yazılımları için meşru yürütülebilir dosyaların yanı sıra bir DLL olarak teslim edildi” dedi.
“Bu aktivite modeli, saldırganın yüklerini yürütmek için yasal bir antivirüs yazılımı aracılığıyla DLL yan yüklemesine güvendiğini gösteriyor. Salt Typhoon ve benzer grupların bu tekniği kullanma geçmişi var, bu da onların güvenilir yazılım kisvesi altında yükleri yürütmesine ve geleneksel güvenlik kontrollerini atlamasına olanak tanıyor.”
Neyse ki, saldırganlar hedef telekomünikasyon ağına daha derinlemesine girmeyi başaramadan izinsiz giriş fark edildi.
Tuz Tayfunu Engelleniyor
Salt Typhoon, diğer adıyla Earth Estries ve UNC2286, beş yıldan fazla bir süredir aktif.
En yüksek profilli ihlalleri yaklaşık bir yıl önce, bir dizi ABD telekomünikasyon şirketine başarıyla sızdıkları keşfedildiğinde ortaya çıktı.
FBI ve CISA yetkililerine göre, bu izinsiz girişler sırasında abonelerin çağrı kayıtlarını çalmayı, devlet çalışanlarının ve politikacıların telefon görüşmelerini ve kısa mesajlarını dinlemeyi ve yasal iletişim müdahalesi için kurulmuş telefon dinleme sistemlerine erişmeyi başardılar.
Bu yılın başlarında, tehdit aktörünün Kanadalı bir telekomünikasyon sağlayıcısının yanı sıra Kaliforniya merkezli uydu geniş bant hizmetleri ve güvenli ağ sistemleri sağlayıcısı Viasat’taki saldırılarla bağlantısı olduğu ortaya çıktı.
Salt Typhoon’un faaliyetleri Batılı siber güvenlik kurumları tarafından Çin merkezli birkaç firmaya bağlandı.
Siber güvenlik kurumları yakın tarihli bir ortak danışma belgesinde, “Bu şirketler, Halk Kurtuluş Ordusu ve Devlet Güvenlik Bakanlığı’ndaki birçok birim dahil olmak üzere Çin’in istihbarat servislerine siber bağlantılı ürünler ve hizmetler sağlıyor” dedi.
“Yabancı telekomünikasyon ve İnternet servis sağlayıcılarına (ISP’ler) karşı yapılan bu faaliyet yoluyla çalınan verilerin yanı sıra konaklama ve ulaşım sektörlerine yapılan izinsiz girişler, sonuçta Çin istihbarat servislerine, hedeflerinin dünya çapındaki iletişimlerini ve hareketlerini tanımlama ve takip etme yeteneği sağlayabilir.”
BlackBerry Başkan Yardımcısı ve Dünya Çapında CISO Danışmanı Gregory Richardson, iletişim ağlarının, kurumsal casusluktan jeopolitik çıkar sağlamaya kadar çeşitli nedenlerle yönlendirilen siber saldırganların ana hedefleri haline geldiği konusunda uyarıyor.
Darktrace daha güncel uzlaşma göstergelerini paylaşırken, ajansın çok kapsamlı tavsiyeleri şunları içeriyor:
- Tuz Tayfunu’nun Ağustos 2021’den Haziran 2025’e kadarki faaliyetleriyle ilgili göstergeler
- Grubun kullandığı özel yazılımlara ilişkin bilgiler
- Tehdit avcılığı rehberliği ve
- Savunmacıların bu tehdit aktörünü ağlarından ve sistemlerinden uzak tutmaları için hafifletici önlemleri ve genel güvenlik önerilerini ortaya koyuyor.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!