Recorded Future’dan Insikt Group tarafından yakın zamanda yapılan bir araştırmaya göre, TAG-112 olarak tanımlanan Çin devleti destekli bir tehdit grubunun, Cobalt Strike kötü amaçlı yazılımını dağıtmak için Tibet topluluğu web sitelerini ele geçirdiği keşfedildi.
Recorded Future’ın bir raporuna göre soruşturma, TAG-112’nin Tibet örgütlerine ait en az iki web sitesinin güvenliğini ihlal ettiğini ortaya çıkardı: Tibet Postası (tibet postası[.]net) ve Gyudmed Tantrik Üniversitesi (gyudmedtantric üniversitesi[.]org).
Saldırganlar, Joomla içerik yönetim sistemindeki (CMS) güvenlik açıklarından yararlanarak, ziyaretçileri güvenlik sertifikası görünümündeki kötü amaçlı yazılımları indirmeye yönlendirecek kötü amaçlı kodlar yerleştirdiler.
Bu olay, Tibet topluluklarını ve kuruluşlarını hedef alan siber casusluk faaliyetlerinde önemli bir artışa işaret ediyor.
Siber suçlular tarafından sıklıkla kötüye kullanılan meşru bir sızma testi aracı olan Cobalt Strike, saldırganların virüslü sistemleri uzaktan kontrol etmesine olanak tanıyarak casusluk çabalarını ilerletir.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Saldırı Mekanizması: Sahte TLS Hatası ve Kötü Amaçlı JavaScript
TAG-112’nin saldırısı, bir kullanıcı güvenliği ihlal edilmiş web sitelerinden birini ziyaret ettiğinde başlar. Sitenin içine, kullanıcının işletim sistemini ve tarayıcısını tespit eden kötü amaçlı bir JavaScript yerleştirilmiştir.
Uyumluysa kullanıcı, TAG-112 tarafından kontrol edilen bir alana yönlendirilir ve burada sahte bir Google Chrome TLS sertifikası hatasıyla karşılaşır.
Bu sahte hata sayfası, kullanıcıları güvenlik sertifikası gibi görünen bir şeyi indirmeleri için kandırıyor. Gerçekte bu indirme, Cobalt Strike’ı dağıtarak TAG-112’nin daha fazla casusluk ve veri toplama için kurbanın sistemine uzaktan erişmesini sağlıyor.
Saldırganlar büyük olasılıkla Tibet web sitelerine yaygın olarak kullanılan bir CMS olan Joomla’daki yamalanmamış güvenlik açıkları yoluyla erişim sağladılar.
Eski Joomla kurulumlarındaki zayıflıklar, TAG-112’nin sitelere kötü amaçlı JavaScript yerleştirmesine olanak tanıdı ve bu taktik, en azından Ekim 2024’ün başlarına kadar aktif kaldı.
TAG-112, Tibet varlıklarını hedef almasıyla bilinen Çin devleti destekli bir başka grup olan Kaçakçı Panda olarak da bilinen TAG-102 ile altyapı ve taktikleri paylaşıyor.
Ancak TAG-112, özel kötü amaçlı yazılım geliştirmek yerine Cobalt Strike gibi halka açık araçlara güvenerek daha az karmaşıklıkla çalışır.
Devam eden bu tehdide karşı savunma yapmak için siber güvenlik uzmanları şunları önermektedir:
- İzinsiz Giriş Tespiti: TAG-112 ile ilgili güvenlik ihlali göstergelerini izlemek için sistemleri dağıtın.
- Kullanıcı Farkındalığı: Kullanıcıları güvenilmeyen kaynaklardan dosya indirmenin riskleri konusunda eğitin.
- Kobalt Saldırısı Tespiti: Bilinen Cobalt Strike komuta ve kontrol sunucularıyla iletişimi tespit etmek için gerçek zamanlı izleme kullanın.
Bu son kampanya, Çin hükümetinin Tibet topluluğu gibi tehdit olarak algıladığı grupları gözetleme ve kontrol etme yönündeki ısrarlı çabalarının altını çiziyor.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!