Çin’deki ABD Kuruluşu Çin Merkezli Hackerlar Tarafından Saldırıya Uğradı

   Aralık 5, 2024  Posted in CyberSecurityNews


Çin'deki ABD Kuruluşu Çin Merkezli Hackerlar Tarafından Saldırıya Uğradı

Çin’de önemli operasyonları olan büyük bir ABD kuruluşu, muhtemelen Çin merkezli bilgisayar korsanları tarafından düzenlenen karmaşık bir siber saldırının kurbanı oldu.

Nisan 2024’ten Ağustos 2024’e kadar dört ay süren izinsiz giriş, saldırganların öncelikle istihbarat toplama amacıyla örgütün ağında kalıcı bir varlık sürdürmesine olanak tanıdı.

Saldırı Nisan 2024’te başladı ve Ağustos 2024’e kadar devam etti. Bilgisayar korsanları, Exchange Sunucuları da dahil olmak üzere kuruluşun ağındaki birden fazla bilgisayarın güvenliğini ihlal etti ve bu da e-posta toplamaya odaklanıldığını gösteriyor.

Bunun yanı sıra Symantec’teki güvenlik uzmanları, saldırganların çeşitli karmaşık teknikler kullandığını da gözlemledi:

  1. DLL tarafı yükleme: Kötü amaçlı DLL’leri yüklemek için GoogleToolbarNotifier.exe ve iTunesHelper.exe gibi meşru uygulamalar kullanıldı.
  2. Impacket: Ağ protokollerini yönetmek için açık kaynaklı Python modülleri koleksiyonu.
  3. FileZilla ve PSCP: Potansiyel veri sızıntısı için kullanılır.
  4. Kara araçlarından geçinmek: Yanal hareket ve komut yürütme için WMI, PsExec ve PowerShell’den yararlanıldı.

API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt

Teknik Analiz

Saldırganların ağ bilgilerini toplamaya, kimlik bilgilerini boşaltmaya ve Exchange Sunucularını hedeflemeye odaklandığı en az beş makinenin güvenliği ihlal edildi.

Çeşitli faktörler Çin merkezli bir tehdit aktörüne işaret ediyor:

  1. Çinli grupların tercih ettiği bir taktik olan DLL yan yüklemesinin kullanılması.
  2. Daha önce aynı kuruluş 2023 yılında Çin merkezli Daggerfly grubuyla bağlantılı bir saldırgan tarafından hedef alınmıştı.
  3. Daha önce Çin casusluk grubu Kızıl Saray ile ilişkilendirilen “textinputhost.dat” dosyasının varlığı.

Saldırının öncelikli olarak istihbarat toplamaya odaklandığı görülüyor. Ele geçirilen Exchange Sunucuları, e-posta verilerinin sızma için birincil hedef olduğunu öne sürüyor.

Saldırının ısrarcı doğası ve kullanılan karmaşık araçlar, iyi kaynaklara sahip ve kararlı bir düşmanın varlığına işaret ediyor.

Bu olay, Çin’de faaliyet gösteren ABD kuruluşlarının karşı karşıya olduğu devam eden siber tehditlere dikkat çekiyor ve özellikle önemli uluslararası varlığı bulunanlar için sağlam siber güvenlik önlemlerine duyulan ihtiyacın altını çiziyor.

Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses



Source link