Çinli bir casusluk grubu olan Ink Dragon, operasyonlarını Güneydoğu Asya ve Güney Amerika’dan Avrupa hükümet ağlarına kadar önemli ölçüde genişletti.
Bu ilerleme, iyi tasarlanmış araçların standart kurumsal faaliyetleri taklit eden tekniklerle bir araya getirilmesiyle tehdit aktörünün stratejik odağında kayda değer bir değişime işaret ediyor.
Grubun genişlemesi, uzun süreler boyunca tespit edilmeden kalarak uzun vadeli erişim sağlamasına olanak sağlayacak şekilde yöntemli ve disiplinli olmuştur.
Kötü amaçlı yazılım kampanyası, ağ altyapısı ve yönetim süreçlerine ilişkin gelişmiş bir anlayış sergiliyor.
Saldırganlar, kamuya açık sistemlerdeki, özellikle de Microsoft’un Internet Information Services (IIS) ve SharePoint platformları gibi web sunucularındaki güvenlik açıklarını tespit ederek işe başlıyor.
Bu ilk giriş noktaları genellikle, minimum tespit riskiyle kötü amaçlı kod yerleştirmek için yeterli erişim sağlayan basit yapılandırma gözetimlerinden kaynaklanır.
İlk dayanak noktası oluşturulduktan sonra operatörler hesaplanmış bir hassasiyetle hareket eder.
Check Point analistleri, Ink Dragon’un ele geçirilen ağlarda gezinmek için çalınan kimlik bilgilerinden ve hareketsiz yönetim oturumlarından yararlandığını belirtti.
Saldırganlar, yerel kimlik bilgilerini ilk giriş noktalarından toplar, etkin yönetici oturumlarını belirler ve meşru bir görünümü korurken sistemler arasında yanal olarak hareket etmek için paylaşılan hizmet hesaplarını yeniden kullanır.
Bu yaklaşım, hareketlerinin normal idari trafikle sorunsuz bir şekilde karışmasını sağlar.
Güvenliği ihlal edilmiş sunucuları dönüştürme
Ink Dragon’un operasyonunun özellikle gelişmiş bir yönü, güvenliği ihlal edilmiş sunucuların aktarma düğümlerine dönüştürülmesini içerir.
Bu sistemler, farklı kurbanlar arasında komutları ve verileri ileterek, saldırının gerçek kaynağını gizleyen bir iletişim ağı oluşturur.
Bu teknik, grubun daha geniş komuta ağını güçlendirirken, trafiğin organizasyonlar arası rutin bir faaliyet gibi görünmesi nedeniyle savunmacı tespitini önemli ölçüde zorlaştırıyor.
.webp)
Grubun gelişen araç seti, özellikle güncellenmiş FinalDraft arka kapı çeşidi, önemli bir teknik ilerlemeyi temsil ediyor.
Bu araç artık Microsoft bulut hizmetleriyle entegre olarak sıradan posta kutusu taslaklarındaki komut trafiğini yasal hizmetlerin günlük kullanımı gibi görünecek şekilde gizler.
En son sürüm, normal iş kalıplarıyla uyumlu kontrollü zamanlama mekanizmalarını, büyük dosyaları sessizce taşımak için verimli veri aktarım yeteneklerini ve operatörlere tehlikeye atılan her makineye ilişkin kapsamlı görünürlük sağlamak için ayrıntılı sistem profili oluşturmayı içerir.
Check Point araştırmacıları, dikkat çekici bir şekilde, başka bir tehdit aktörü olan RudePanda’nın aynı anda birkaç aynı hükümet ağını tehlikeye attığını keşfetti.
Bu örtüşme, yama uygulanmamış tek bir güvenlik açığının, her biri aynı ortamda bağımsız olarak çalışan birden fazla gelişmiş tehdit aktörü için nasıl bir giriş noktası haline gelebileceğini ortaya koyuyor.
Bu ortak saldırı yüzeyini anlamak, benzer olayları önlemekle görevli siber güvenlik uzmanları için kritik hale geldi.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
