Çin bağlantılı bir siber casusluk grubu, Tayvan hükümet kurumlarına, Filipin ve Japonya ordularına ve Vietnam’daki enerji şirketlerine saldırarak, saldırıya uğrayan makinelere Cobalt Strike istemcisini veya EagleDoor olarak bilinen özel bir arka kapıyı yükledi.
Siber güvenlik firması Trend Micro tarafından Earth Baxia olarak adlandırılan grup, kurbanları tehlikeye atmak için öncelikli olarak mızraklı kimlik avı kullanıyor, ancak coğrafi verileri dağıtmak için kullanılan açık kaynaklı GeoServer yazılımındaki bir güvenlik açığından (CVE-2024-36401) da yararlandı. Grup, kötü amaçlı dosyaları barındırmak için genel bulut hizmetlerini kullanıyor ve en azından bir analiz Wicked Panda ve Brass Typhoon olarak da bilinen APT41 arasında örtüşme bulsa da, bilinen diğer gelişmiş kalıcı tehdit (APT) gruplarıyla bağlantılı görünmüyor.
Trend Micro’da tehdit araştırmacısı olan Ted Lee, grubun altyapısının büyük bölümünün Çin’de bulunduğunu ve saldırılarının Çin’in ulusal çıkarları doğrultusundaki ülkeleri hedef aldığını söylüyor.
“Son kampanyalarda, birincil hedefleri hükümet kurumları ve diğer kritik altyapılar — [such as] telekomünikasyon — APAC bölgesinde,” diyor. “Ek olarak, kurbanları cezbetmek için kullandıkları sahte belgelerin bazı önemli konferanslar veya uluslararası toplantılarla ilgili olduğunu da bulduk.”
Saldırı, Çin’in Asya-Pasifik bölgesindeki hükümetlere ve şirketlere yönelik saldırılarını artırdığı bir dönemde gerçekleşti. Crimson Palace Operasyonu, üç Çinli APT grubunun birlikte çalışmasıyla oluşan bir koleksiyonGüneydoğu Asya’da hükümet kurumları da dahil olmak üzere bir düzineden fazla hedefi başarıyla tehlikeye attı. Yakın zamanda gerçekleşen bir başka olayda, Çinli bir casusluk grubu, kötü amaçlı bir sahte belge kullanarak ABD-Tayvan İş Konseyi’nde uzlaşma sistemleri23. ABD-Tayvan Savunma Sanayii Konferansı öncesinde.
Spear-Phishing, GeoServer’ın Yanında
Son saldırılarda ağırlıklı olarak bölgesel konferanslar yem olarak kullanılarak dosya veya bağlantı gönderme yöntemiyle hedefli kimlik avı yapılıyor.
Trend Micro, “Toplanan kimlik avı e-postalarına, sahte belgelere ve olaylardan elde edilen gözlemlere dayanarak, hedeflerin öncelikle Filipinler, Güney Kore, Vietnam, Tayvan ve Tayland’daki hükümet kurumları, telekomünikasyon şirketleri ve enerji sektörü olduğu anlaşılıyor” dedi. analizinde belirtildiği gibi“Önemli bir şekilde, Çin’in de etkilenen ülkelerden biri olduğunu öne süren basitleştirilmiş Çince yazılmış bir sahte belge de keşfettik. Ancak, sınırlı bilgi nedeniyle Çin’deki hangi sektörlerin etkilendiğini doğru bir şekilde belirleyemiyoruz.”
Trend Micro, sınırlı sayıda vakada tehdit grubunun açık kaynak kodlu yazılımdaki bilinen bir açığı kullandığını fark etti. coğrafi paylaşım hizmeti GeoServer bir organizasyon içinde bir köprübaşı elde etmek için. GeoServer saldırıları en az iki ay önce başlamış gibi görünüyor, Shadowserver Vakfı’nın notu Saldırının ilk olarak 9 Temmuz’da kayıtlarında göründüğü belirtiliyor. Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), güvenlik açığını şu şekilde ekledi: 15 Temmuz’da Bilinen İstismar Edilen Güvenlik Açığı (KEV) kataloğu.
İster bir güvenlik açığından isterse hedef odaklı kimlik avından yararlanılsın, bir sonraki adım hedef sistemleri daha fazla tehlikeye atmak için GrimResource ve AppDomainManager enjeksiyonu adı verilen iki teknikten birini kullanmaktır.
Haziran ayında keşfedilen GrimResource kurbanın makinesinde JavaScript çalıştırmak için çapraz site betikleme (XSS) açığı kullanır ve ikinci bir istismarla birlikte keyfi kod yürütme elde eder. AppDomainManager enjeksiyonu, kötü amaçlı kod yüklemek ve çalıştırmak için kullanılabilen eski — ancak hala yaygın olarak bilinmeyen — bir tekniktir ve devlet destekli gruplar tarafından kötüye kullanılmaya başlanmıştır, NTT Security bir analizde şöyle diyor (Google Translate aracılığıyla).
“Bu yöntem şu anda yaygın olarak bilinmediğinden, saldırganlar için tek taraflı bir avantaj olduğu açıktır,” diye çevrilen analizde belirtildi. “Sonuç olarak, bu tür saldırıların gelecekte genişlemesi olasılığı konusunda endişeler var.”
Bütün Yollar Kobalt Grevi’ne mi Çıkar?
Herhangi bir durumda uzlaşma, EagleDoor olarak bilinen özel bir arka kapıya veya kırmızı takım aracının korsan bir sürümü tarafından bir implantın yerleştirilmesine yol açar Kobalt GreviGüçlü yanal hareket ve komuta-kontrol (C2) yetenekleri nedeniyle siber suçlular ve siber casusluk grupları arasında kullanımı yaygın olan bir araçtır.
Trend Micro’dan Lee, ayrıca aracın yaygın olması sayesinde araştırmacıların bu aracın kullanımından kaynaklı herhangi bir atıf bilgisi elde edemediğini söylüyor.
“Kullanımı kırmızı bayrak olabilirken, saldırganlar genellikle tespit edilmekten kaçınmak için bileşenlerini değiştirirler,” diyor. “Öte yandan, analistlerin Cobalt Strike’a dayalı grup atıfını tamamlaması zordur çünkü bu birçok farklı grup tarafından kullanılan ortak bir araçtır.”
Cobalt Strike bileşeni, DNS, HTTP, TCP ve Telegram üzerinden iletişime izin veren EagleDoor arka kapısını oluşturan Hook ve Eagle adlı iki yürütülebilir dosyayı düşürür. Trend Micro, analizinde komutların kurbanın sisteminden veri sızdırmak ve ek yükler yüklemek için kullanıldığını belirtti.