TAG-112 adlı Çin bağlantılı bir ulus-devlet grubu, Kobalt Saldırısı sonrası bilgi toplama amaçlı araç setinin dağıtımını kolaylaştırmak için tasarlanmış yeni bir siber casusluk kampanyasıyla Tibet medyasını ve üniversite web sitelerini ele geçirdi.
Recorded Future’dan Insikt Group, “Saldırganlar, ziyaretçileri gizlenmiş bir güvenlik sertifikası indirmeleri için kandırmak amacıyla TLS sertifika hatasını taklit eden bu sitelere kötü amaçlı JavaScript yerleştirdiler.” dedi.
“Tehdit aktörleri tarafından uzaktan erişim ve istismar sonrası için sıklıkla kullanılan bu kötü amaçlı yazılım, siber casusluğun Tibet varlıklarına yönelik devam eden odağının altını çiziyor.”
Uzlaşmalar, Kaçak Panda (diğer adıyla Bronze Highland, Daggerfly, StormBamboo ve TAG-102) olarak takip edilen başka bir kümenin olası bir alt grubu olarak tanımlanan TAG-112 adlı devlet destekli bir tehdit grubuna bağlandı. taktiksel örtüşmeler ve bunların Tibet varlıklarını tarihsel olarak hedef almaları.
Düşman kolektif tarafından Mayıs 2024’ün sonlarında ihlal edilen iki Tibet topluluğu web sitesi Tibet Post’tu (tibetpost).[.]net) ve Gyudmed Tantric University (gyudmedtantricuniversity)[.]org).
Spesifik olarak, ele geçirilen web sitelerinin, sitelere gelen ziyaretçilerin, yürütme sırasında Cobalt Strike yükünü yükleyen, “güvenlik sertifikası” olarak gizlenen kötü amaçlı bir yürütülebilir dosyayı indirmelerini teşvik edecek şekilde manipüle edildiği bulunmuştur.
Bunu mümkün kılan JavaScript’in, içerik yönetim sistemi Joomla’daki bir güvenlik açığını kullanan sitelere yüklendiği söyleniyor.
Recorded Future, “Kötü amaçlı JavaScript, window.onload olayı tarafından tetikleniyor” dedi. “Önce kullanıcının işletim sistemini ve web tarayıcı türünü kontrol eder; bu muhtemelen Windows dışındaki işletim sistemlerini filtreleyecektir, çünkü bu işlev, Windows algılanmazsa komut dosyasını sonlandıracaktır.”
Tarayıcı bilgileri (yani Google Chrome veya Microsoft Edge) daha sonra uzak bir sunucuya (update.maskrisks) gönderilir.[.]com), genellikle ana bilgisayarın TLS sertifikasında bir sorun olduğunda görüntülenen, ilgili tarayıcının TLS sertifikası hata sayfasının değiştirilmiş bir versiyonu olan bir HTML şablonunu geri gönderir.
JavaScript, sahte güvenlik sertifikası uyarısını görüntülemenin yanı sıra, *.dnspod alanı için varsayılan bir güvenlik sertifikasının indirilmesini otomatik olarak başlatır.[.]cn, ancak gerçekte, DLL yan yüklemesini kullanarak bir Cobalt Strike Beacon yükünü dışarıdan yükleyen meşru imzalı bir yürütülebilir dosyadır.
Bu aşamada, Tibet Post’un web sitesine, en azından Eylül 2023’ten bu yana Tibetli kullanıcıları hedef alan bir sulama deliği ve tedarik zinciri saldırısıyla bağlantılı olarak Kaçak Panda aktörü tarafından ayrı ayrı sızıldığını belirtmekte fayda var. Saldırılar, şu şekilde bilinen arka kapıların yayılmasına yol açtı: MgBot ve Nightdoor, ESET bu Mart ayının başlarında açıklandı.
Bu önemli taktiksel kesişime rağmen Recorded Future, aralarındaki “olgunluk farkı” nedeniyle iki izinsiz giriş setini farklı tuttuğunu söyledi.
“TAG-112 tarafından gözlemlenen aktivite, TAG-102 tarafından görülen karmaşıklıktan yoksundur” dedi. “Örneğin, TAG-112, JavaScript gizlemeyi kullanmıyor ve Cobalt Strike’ı kullanıyor; TAG-102 ise özel kötü amaçlı yazılımlardan yararlanıyor. TAG-112 muhtemelen TAG-102’nin bir alt grubudur ve aynı veya benzer istihbarat gereksinimlerine yönelik çalışmaktadır.”