Çin Casusluk Grubu Asya Kampanyalarında Fidye Yazılımı Kullanıyor

Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya

ChamelGang Oyuncuları Atıf ve Analizden Kaçmak İçin CatB Fidye Yazılımını Kullandı

Jayant Chakravarti (@JayJay_Tech) •
27 Haziran 2024

Çinli bir siber casusluk grubu, son üç yıldır kapsamlı ve ısrarlı casusluk faaliyetleri yürütürken dikkat dağıtmak için fidye yazılımlarını kullanıyor.

Ayrıca bakınız: Web Semineri | Sosyal Mühendislik ve Kimlik Avıyla Mücadele İçin Yapabileceğiniz Her Şey

Siber güvenlik şirketi SentinelOne, ChamelGang olarak takip ettiği casusluk grubunun Doğu Asya ve Hindistan’daki kritik altyapı kuruluşlarını hedef aldığını söyledi. Grup, 2021’in başı ile 2023’ün ortası arasında 37 kuruluşu vurdu ve kurbanların büyük çoğunluğu üretim sektöründeydi ve çoğunlukla Amerika Birleşik Devletleri’nde bulunuyordu.

Ancak grup son birkaç yılda odağını Asya’ya kaydırdı; Japonya ve Tayvan’daki hükümet ve özel kuruluşları, Hindistan yarımadasındaki bir havacılık şirketini ve bölgesel sağlık ve üretim kuruluşlarını hedef aldı. Grup ayrıca Hindistan’ın önde gelen sağlık enstitüsüne ve Brezilya başkanlığına da fidye yazılımı saldırısı düzenledi. Hindistan’daki olay, Hindistan ile Çin arasındaki diplomatik ilişkileri bozdu (bkz: Fidye Yazılımı Hindistan Premier Hastanesini 2. Gün Boyunca Bozdu).

Bu gruplar, kurban dosyalarını şifreleyen ve şifre çözme için ödeme talep eden fidye yazılımları kullanarak hedeflenen kuruluşlarda anında kaos ve aciliyet yaratır. Bu dikkat dağıtma taktiği, birincil amaçlarından, yani tehlikeye atılan ağlarda kapsamlı casusluk operasyonları yürütmekten dikkati etkili bir şekilde uzaklaştırır. Saldırganlar, siber casusluğu gizlice yürütmek için ProtonMail gibi iletişim kanallarını kullanır.

Grup, siber casusluk odağını gizlemek için CatB adı verilen kötü amaçlı fidye yazılımı aracını kullanıyor.

Bir saldırıda ChamelGang, BeaconLoader’ın diğer Windows hizmetleri veya yazılım bileşenleri gibi görünen, sistemin kök klasöründe bulunan ve saldırganların keşif komutları ve ek araçlar yürütmesine ve dosyaları sızdırmasına yardımcı olan Cobalt Strike’ı yükleyen yeni çeşitlerini yerleştirir.

SentinelLabs, BeaconLoader’ın kontrol akışı gizlemesi uyguladığını ve enfeksiyonun erken aşamalarında statik analiz yoluyla tespitten kaçınmak için değiştirilmiş XOR tabanlı dize gizleme tekniklerini kullandığını söyledi. Casusluk grubu ayrıca, ayrıcalık yükseltme için SmartAssembly korumalı SweetPotato ve SharpToken yürütülebilir dosyalarının yanı sıra kötü niyetli trafiği yönlendirmek için Golang tarafından uygulanan hızlı ters proxy gibi halka açık çeşitli bilgisayar korsanlığı araçlarını da kullanıyor. Grup ayrıca fidye talep etme aracı olarak uç noktaları şifrelemek için Microsoft BitLocker ve Jetico BestCrypt’i kullanıyor.