Çin devleti destekli bilgisayar korsanları, yakın zamanda kötü şöhretli Cobalt Strike kötü amaçlı yazılımını dağıtmak için karmaşık bir siber casusluk kampanyası kapsamında iki önde gelen Tibet web sitesini tehlikeye attı.
TAG-112 tehdit grubuna atfedilen saldırı, Çin’deki etnik ve dini azınlıkların karşı karşıya olduğu devam eden dijital tehditlere dikkat çekiyor.
Recorded Future, bilgisayar korsanlarının hedeflenen web siteleri olan Tibet Post ve Gyudmed Tantric Üniversitesi’ne Mayıs 2024’ün sonlarında saldırdığını gözlemledi. Her iki site de, saldırganların kötü amaçlı JavaScript kodu enjekte etmek için kullandığı Joomla içerik yönetim sistemini kullanıyor.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Bilgisayar korsanları, ziyaretçileri kötü amaçlı yazılımı indirmeleri için kandırmak amacıyla akıllı bir sosyal mühendislik taktiği kullandı: –
- Kötü amaçlı JavaScript, ziyaretçinin Windows işletim sistemi kullanıp kullanmadığını tespit eder.
- Uyumluysa komut dosyası, saldırganın komuta ve kontrol alanına bağlantı başlatır.
- Sahte bir TLS sertifikası hata sayfası, Google Chrome’un uyarısını taklit eder.
- Sorunu çözmek için kullanıcılardan bir “güvenlik sertifikası” indirmeleri istenir.
- İndirme bağlantısına tıklamak Cobalt Strike yükünü başlatır.
Kobalt Saldırısı: Güçlü Bir Siber Silah
Cobalt Strike öncelikle bir sızma testi aracı olarak tasarlandı ve siber suçlular ile devlet destekli aktörler arasında favori haline geldi. Aşağıdakiler için sağlam yetenekler sağlar: –
- Uzaktan erişim
- Ağlar içinde yanal hareket
- Komuta ve kontrol işlemleri
Bu kampanyada, tümü saldırganların altyapısıyla iletişim kuran altı farklı Cobalt Strike Beacon örneği tespit edildi.
TAG-112’nin operasyonları, TAG-102 (Evasive Panda) olarak bilinen başka bir Çin APT’si ile benzerlikler paylaşıyor. Her iki grup da Tibet topluluklarını hedef alıyor ve benzer taktikler kullanıyor. Ancak TAG-112, özel araçlar yerine kullanıma hazır kötü amaçlı yazılımlara dayandığı için daha az karmaşık görünüyor.
Bu kampanya, Çin’in etnik ve dini azınlıkları izleme ve kontrol etmeye yönelik süregelen çabalarının altını çiziyor. Tibet web sitelerinin hedeflenmesi, Çin hükümetinin daha geniş gözetim ve bilgi kontrolü stratejisiyle uyumludur.
Bu tür saldırılara karşı korunmak için kuruluşlar, güçlü izinsiz giriş tespit ve önleme sistemleri uygulamalı, kimlik avı ve sosyal mühendislik taktikleri konusunda düzenli kullanıcı eğitimleri düzenlemeli, Cobalt Strike C&C sunucuları için gerçek zamanlı izlemeyi etkinleştirmeli ve ağ trafiği analizini dikkatli bir şekilde sürdürmelidir.
Siber casusluk kampanyaları gelişmeye devam ederken, potansiyel hedeflerin, özellikle de azınlık gruplarının ve kuruluşlarının uyanık kalması ve siber güvenlik önlemlerine öncelik vermesi gerekiyor. TAG-112 saldırısı, devlet aktörlerinin incelemesi altında toplulukların karşı karşıya kaldığı sürekli dijital tehditlerin önemli bir hatırlatıcısıdır.
Attend a Free Webinar on How to Maximize Cybersecurity Program ROI