Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Araştırmacılar, Bu Hackerların Rus Hackerların Oluşturduğu Tehdide Eşit Olduğunu veya Bu Tehdidi Aşabileceğini Söyledi
Prajeet Nair (@prajeetspeaks) •
20 Eylül 2023
Suç faaliyetleriyle bağlantılı Çince konuşan bilgisayar korsanları, mağdur bilgisayarları uzaktan kontrol etmek için vatandaşları kötü amaçlı yazılımlarla hedef alma çabalarını iki katına çıkardı; bu da Çin’in siber yeraltı dünyasında mali güdümlü faaliyetlerde endişe verici bir artışa işaret ediyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Proofpoint’teki araştırmacılar, Sainbox uzaktan erişim Truva Atı’nın “küçük bir yeniden dirilişini” ve ayrıca “ValleyRAT” adını verdikleri yeni tanımlanmış bir Truva atının genellikle Çince yazılan e-postalar yoluyla teslim edildiğini tespit ettiklerini söyledi. Yemler genellikle faturalar, ödemeler ve yeni ürünler gibi iş temalarıyla ilgilidir ve kötü amaçlı yazılım, Excel belgelerinde, PDF’lerde veya kötü amaçlı bağlantılarda gizlenir. FatalRAT olarak da bilinen Sainbox, araştırmacıların ilk kez 2008’de tanımladığı ticari amaçlı kötü amaçlı yazılım Gh0st RAT’ın bir çeşididir.
Proofpoint, yeni ve eski Çin temalı kötü amaçlı yazılımların acil durumunun, finansal motivasyona sahip Çinli bilgisayar korsanlarının Rus bilgisayar korsanlarının oluşturduğu tehdide eşit veya daha üstün olabileceğini gösterdiğini söyledi. Batılı ülkeler rutin olarak Rusya’yı, sınırları içinde suç teşkil eden bir yeraltı örgütünün büyümesine izin vermekle suçluyor (bkz: Batılı Başkentler Rus Hacking’iyle Kızgın).
Amerika Birleşik Devletleri Çinli bilgisayar korsanlığını siber casusluk ve fikri mülkiyet hırsızlığıyla daha yakından ilişkilendiriyor, ancak bazı devlet destekli bilgisayar korsanları mali amaçlı saldırılar düzenleyerek ek iş yapıyor.
Proofpoint’in Çin’deki suç sayılan bilgisayar korsanlığı tehdidine ilişkin uyarısının bir nedeni, Çince konuşanların gelen kutularında görünen Truva atlarının tek bir varlıktan değil, “bir faaliyet kümesinden” geliyor gibi görünmesidir. Proofpoint, birden fazla tehdit aktörünün birden fazla kötü amaçlı yazılım ailesi sunmak için aynı altyapıyı kullanmasının mümkün olduğunu söyledi. Ayrıca, “yakın zamanda tanımlanan bu faaliyet kümeleri, hem basit hem de orta derecede karmaşık tekniklerden yararlanan esnek dağıtım yöntemleri göstermiştir.”
Toplamda Proofpoint, “genellikle Çin siber suç faaliyetleriyle ilişkilendirilen kötü amaçlı yazılımlardan yararlanan” 30’dan fazla ayrı kampanya gözlemledi. Sainbox ve yeni ValleyRAT’ın yanı sıra araştırmacılar, bilgisayar korsanlarının Purple Fox kötü amaçlı yazılımını dağıttığını da gördü.
Faaliyetin arkasındaki bilgisayar korsanlarının Çince konuşan kurbanlardan da ayrılma istekleri var gibi görünüyor. Bir kampanyada Japon kuruluşlarını hedef aldılar.