Google’ın Tehdit İstihbarat Grubu, Güneydoğu Asya’daki diplomatları hedeflemek için esir portalları ve ortadaki rakip taktikleri kullanarak UNC6384 olarak izlediği PRC’ye bağlı bir tehdit aktörünün siber casusluk kampanyasını ortaya çıkardı.
Esir portallar, Hotel Wi-Fi’ye giriş yapan herkese aşina olan oturum açma sayfaları türüdür. Bu portallar, meşru bir girişe yol açmak yerine, kurbanları aldatmak için VPN hizmetlerini veya yazılım güncelleme sayfalarını taklit etti.
Bir kurban ziyaret ettikten sonra, StaticPlugin olarak izlenen dijital olarak imzalanmış bir indiriciye hizmet verildi ve bu da kötü şöhretli Plugx Backdoor’un bir varyantı olan Sogu.sec’i dağıttı. Plugx uzun zamandır Çin devlet destekli saldırı oyun kitabı ile ilişkilendirilmiştir. Ancak bu son varyant, algılamayı önlemek için tasarlanmış güncellenmiş bir Tradecraft aracılığıyla teslim edildi.
Teknik detaylar
-
Teslimat mekanizması: Kötü amaçlı yazılım, meşru bir dijital sertifika ile imzalandı ve son nokta savunmalarını atlamasına izin verdi.
-
Yürütme Teknikleri: UNC6384, normal trafikle karışmak ve imza tabanlı algılamayı önlemek için dolaylı yürütme ve ortadaki düşman (AITM) tekniklerini kullandı.
-
Veri toplama: İçeri girdikten sonra, sogu.sec, yanal hareket, dosya eksfiltrasyonu ve hassas diplomatik sistemlerin devam eden gözetimini etkinleştirdi.
-
Altyapı: Grup, trafiği ele geçiren ve kötü amaçlı portallar aracılığıyla huni yapan saldırgan kontrollü yönlendiricileri işletti.
Google, tehlikeye atılan kuruluşlara devlet destekli uyarılar ve güvenli tarama özelliğine eklenen kötü amaçlı alanların ve dosya karmalarını paylaşma yoluyla bilgilendirdiğini söyledi.
Neden Diplomatlar?
UNC6384’ün diplomatları hedeflemesi kampanyanın jeopolitik temellerine sahiptir. Grup, Güneydoğu Asya’da faaliyet gösteren devlet kurumları, elçilikler ve yabancı hizmet çalışanlarına sıfırlandı – Çin’in ekonomik ve stratejik çıkarları bastırdığı bir alan. Fidye yazılımı veya finansal olarak motive edilen operasyonlardan farklı olarak, bu faaliyet bir ulus devlet düşmanının hesaplanan hedeflerini yansıtır.
Diplomatlar yüksek değerli stratejik hedeflerdir. Kendilerini sistemlerine yerleştirerek saldırganlar müzakereler, politika pozisyonları ve ittifaklar hakkında fikir sahibi olabilirler. Son analize göre, Çin APT grupları giderek daha fazla kritik altyapı ve tedarik zincirlerinde stratejik ön konumlandırmaya odaklanıyor, genellikle kenar cihazlarından, minimal uç nokta savunmalarına sahip yazılım çerçevelerini ve kalıcılığı ve gizliliği sağlamak için “toprakların yaşaması” teknikleri.