Siber savaş / ulus-devlet saldırıları, dolandırıcılık yönetimi ve siber suç, Geo Focus: Asya
Siber Teslim Grubu Tedarikçilere Drone Piyasa Tedarik Zincirinden ödün vermek için saldırdı
Jayant Chakravarti (@Jayjay_tech) •
15 Mayıs 2025
Şüpheli Çince konuşan bir tehdit oyuncusu, Tayvan ve Güney Kore’deki yazılım hizmet sağlayıcılarını ve askeri endüstri kuruluşlarını, özellikle de drone üretim tedarik zincirindeki şirketleri tehlikeye atmak için 2023 ve 2024 yılları arasında iki ayrı kampanya yürüttü.
Ayrıca bakınız: APJ’de Siber Güvenliğin Geleceği
Siber Güvenlik Şirketi Trend Micro, Tayvan ve Doğu Asya’daki ağır endüstriyi, medyayı, yazılım hizmetlerini ve sağlık sektörlerini hedeflemek için Haziran 2023’te “Venom” adlı bir casusluk kampanyası başlattığını söyledi.
Earth AMMID, kurban ağlarına sızmak için web sunucusu güvenlik açıklarını kullandı ve web mermileri kullandı ve kalıcılık oluşturmak için uzaktan erişim araçlarını ve açık kaynak proxy araçlarını kullanmaya devam etti. Kendi özel kötü amaçlı yazılımlarının yerine açık kaynaklı araçların kullanılması, tehdit oyuncunun tespit ve olası atıftan kaçınma çabalarını gösterdi.
Kalıcılığa ulaştıktan sonra, tehdit aktörü, Microsoft’un Active Directory Etki Alanı Hizmetleri’ndeki birincil veritabanı dosyası olan yeni teknoloji dizin hizmetlerini, müşterilerin kimlik bilgilerine erişmek ve başka bir casusluk kampanyası yapmak için kullandı, bu sefer ödeme hizmetlerini, uydu endüstrilerini ve Tayvan’daki askeri endüstrileri hedefledi.
Trend Micro tarafından “Tidrone” olarak adlandırılan ikinci kampanya, Tayvanlı askeri endüstri organizasyonlarını ve diğer sektörlerdeki kuruluşları hedeflemek için yazılım tedarik zinciri saldırıları kullandığını gördü ve bunların hepsi tek bir ERP satıcısı tarafından sağlanan yazılımı kullandı.
Siber güvenlik şirketi, “Earth Ammit’in uzun vadeli hedefi, tedarik zinciri saldırıları yoluyla güvenilir ağları tehlikeye atmak, yüksek değerli varlıkları aşağı akış yönünde hedeflemelerine ve erişimlerini artırmalarına izin vermektir.” Dedi. Diyerek şöyle devam etti: “Bu saldırılara avlanan kuruluşlar, kimlik bilgilerinin ve ekran görüntülerinin ortaya çıkması da dahil olmak üzere veri hırsızlığı riski altındadır.”
Tehdit oyuncusu, Mart 2024’te uydu endüstrisini ve nihayetinde Temmuz ve Ağustos ayları arasında askeri endüstriyi hedeflemeye başlamadan önce Tayvanlı ödeme hizmetlerini hedefleyerek yeni kampanyaya başladı. Bilgisayar korsanları, kendilerini aşağı yönlü organizasyonları hedeflemek için konumlandırmadan önce drone tedarik zincirinin yukarı akış segmentine sızmak için güvenilir satıcıları tehlikeye attılar.
Açık kaynaklı araçlar kullandığı “Venom” kampanyasının aksine, Earth Ammit, Tidrone kampanyası sırasında CXCLNT ve CLNTEND adlı özel backdoors dağıttı. Bu araçlar, uygulamaların yürütme akışını ele geçirmek, süreçleri yeniden başlatma, planlanan görevleri çalıştırma, Mimikatz aracılığıyla kimlik bilgilerini dökmek, antivirüs yazılımını devre dışı bırakmak ve kurbanların bilgilerini toplamak için özel araçlar yükleme gibi birden fazla görev gerçekleştirmesine yardımcı oldu.
Trend Micro, atıf riski taşıyan özel arka kapı kullanmasına rağmen, Earth Ammit’in işlevlerini korurken olabildiğince gizli hale getirmeye özen gösterdiğini söyledi. CXCLNT Backdoor kendini diske yazmadı ve tamamen exe formatında bellekte çalıştırıldı, bu da algılamayı önemli ölçüde daha zorlaştırdı.
Arka kapı ayrıca bir iskelet şekline bırakıldı ve yeteneklerini genişletmek için komut ve kontrol sunucusundan ek eklentiler aldı ve araştırmacıların gerçek amacını belirlemesini zorlaştırdı. Tehdit oyuncusu ayrıca, bir DLL şeklinde verilen ve dllhost.exe’ye proses enjeksiyonu ve EDR çözümlerini devre dışı bırakma gibi önleme önleme özellikleri içeren CLNTEND adlı değiştirilmiş bir CXCLNT sürümünü düşürdü.
Trend Micro’ya göre, Earth Ammit’in arka kapı kötü amaçlı yazılımlarındaki bu algılama önleme özellikleri, tehdit oyuncunun uzun vadeli stratejisine bir bakış sunuyor. Araştırmacılar, “Erişim oluşturmak için düşük maliyetli, düşük riskli araçlarla geniş başlayın, daha sonra daha hedefli ve etkili müdahaleler için özel özelliklere dönün. Bu operasyonel modelin anlaşılması, bu aktörden gelecekteki tehditleri tahmin etmede ve savunmada kritik olacaktır.” Dedi.
Trend Micro, tehdit aktörlerinin her iki kampanyada da aynı kuruluşları ve yazılım satıcılarını hedeflediğini ve bu da tek bir hacker grubunun el işçiliğini ve hedeflenen kuruluşlara sürekli ilgi duyduğunu söyledi. Trend Micro ayrıca kampanyayı, dosya derlemesinden ve komuta yürütme günlüklerinden zaman damgalarına dayanan Çince konuşan bir tehdit oyuncusuna ve saldırganın taktikleri, teknikleri ve prosedürlerindeki benzerliklere dayanarak Güney Koreli siber güvenlik şirketi Ahnlab tarafından Dalbit olarak izledi.