Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
PlugX Kötü Amaçlı Yazılım Kullanımındaki Artış, Çin Ulus-Devlet Etkinliğine Yönelik Noktalar
Jayant Chakraborty (@JayJay_Tech) •
19 Mayıs 2023
Tehdit analistleri, Tayvan’ın Nisan ayında, Tayvan Boğazı’ndaki artan gerilimin bir yansıması olarak, normal miktarın dört katına çıkan kötü amaçlı e-postalardaki üç günlük artışla sarsıldığını söylüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakende Sektörünün ATO ve Dolandırıcılığı Önleme Zorluğunun Üstesinden Gelmek
Trellix’e göre artış, Ocak ayında Taipei hükümet yetkililerini hedef alan ve normal sayının 30 katına ulaşan şantaj e-postalarındaki artışın hemen ardından geldi.
Tehdit istihbaratı firması, faaliyeti kesin olarak Çin devleti tehdit gruplarına bağlamıyor, ancak ada-komşusuyla Pekin’in neden olduğu yenilenen gerilimlerin daha geniş bağlamının kaçınılmaz olduğunu söylüyor. Trellix kıdemli başkan yardımcısı Joseph Tal, “Jeopolitik çatışmalar, çeşitli sektörlere ve kurumlara yönelik siber saldırıların ana itici güçlerinden biridir” dedi.
Alıcıların kötü amaçlı bağlantılara ve eklere tıklamasını sağlamak için tasarlanan kötü amaçlı e-postaların Nisan dalgası, hukuk firmalarını, satıcıları ve tedarikçileri taklit eden dolandırıcılar tarafından gönderildi. Yem, sahte ödeme vadesi geçmiş bildirimleri ve satın alma siparişlerini içeriyordu.
Dolandırıcılar ayrıca büyük markaların oturum açma sayfalarını yanılttı ve kimlik bilgilerini toplamak için şirkete özel sayfaları hedef aldı. Kötü amaçlı e-posta dalgasının ardından Trellix, 10 Nisan ile 12 Nisan arasında PlugX enfeksiyonlarında on beş kat artış gözlemledi. ABD federal hükümeti, uzaktan erişim aracını Çin Devlet Güvenlik Bakanlığı ile bağlantılı tehdit aktörlerine bağladı. 2022’de siber güvenlik şirketi Secureworks, Rus hükümet yetkililerini hedef alan saldırılarda PlugX’in güncellenmiş bir varyantını kullanan ve Mustang Panda olarak da izlenen Bronz Başkan olarak bilinen Çin devlet tehdit grubunu tespit etti (bkz:: Çin Rusları İzliyor; Microsoft Ayrıntıları Ukrayna Saldırıları).
Trellix, Tayvanlı kuruluşlara yönelik saldırılarda Kryptik ve Zmutzy kötü amaçlı yazılım ailelerini kullanan tehdit aktörlerini de gözlemlediğini söyledi. Kryptik, analizi önlemek için öykünme önleme, hata ayıklama önleme ve kod gizleme kullanır ve Zmutzy, kullanıcılarının kurbanları gözetlemesini sağlamak için virüslü sistemlerden kimlik bilgilerini ve diğer dosyaları toplayan bir bilgi hırsızı kötü amaçlı yazılımdır.
Kendisine APT27_Attack adını veren Çin merkezli bir bilgisayar korsanlığı grubu çoğu saldırının sorumluluğunu üstlendi, ancak Trellix araştırmacıları, grubun saldırı modellerinin APT27’nin daha gizli olan faaliyetlerinden önemli ölçüde farklı olduğunu göz önünde bulundurarak bunun bir yanıltma operasyonu olduğuna inanıyorlardı.