Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Tehdit oyuncusu hedefleme değişiminden veritabanlarına geçer
Greg Sirico •
30 Eylül 2025
Araştırmacılar, Afrika, Orta Doğu ve Asya’daki zirveler de dahil olmak üzere jeopolitik olaylara casusluk yapmak için Microsoft Exchange’i hackleme geçmişine sahip bir Çin siber boyama tehdidi oyuncusu, araştırmacılar, dikkatini veritabanlarını hedeflemeye kaydırdığını söyledi.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Palo Alto’nun birimi 42 Tehdit Intel Division Salı günü tehdit oyuncusu, yaygın olarak APT27 ve Winnti olarak izlenen Çin ulus devlet gruplarıyla aynı altyapı kullandığını söyledi. Çin ulus-devlet korsanları genellikle araç ve teknikleri paylaşıyor (bkz:: Çinli bilgisayar korsanlarının vandallardan stratejistlere evrimi).
Ancak, tehdit oyuncusu tarafından kullanılan bazı bileşenler faaliyetine özgüdür, “bu paylaşılan ekosistem içindeki operasyonel bölümleşmeyi gösteren” Palo Alto. Tehdit oyuncusunu kendi adına bir takma adla vaftiz etti: “Phantom Boğa”.
Bloomberg, hedefleri arasında 2022’de Suudi Arabistan’ın Riyad kentindeki bir Çin-Arab zirvesine katılan dış bakanlıkların değişim sunucuları olduğunu bildirdi. Hackerlar zirve ile ilgili terimler ve Çin Cumhurbaşkanı Xi Jinping ve eşi Peng Liyuan gibi belirli isimler için e -posta hesaplarını aradı.
Grup, China Chopper Web Shell, Patates Suite ve Impacket gibi ortak Çin ulus-devlet hackleme araçlarını kullanıyor-ancak daha önce belgelenmemiş bir kötü amaçlı yazılım paketi araştırmacıları “net-star” olarak adlandırılan özelleştirilmiş araçlar da kullanıyor. Microsoft Internet Bilgi Hizmetleri Web sunucularını hedeflemek için bir .NET kötü amaçlı yazılım paketidir.
Net-Star, tamamen bilgisayar belleğinde ve iki varyant .NET kötü amaçlı yazılım yükleyicilerine dağıtılan söz konusu bir arka kapıdan oluşur. Iiservercore olarak izlenen arka kapı, içindeki operatörler w3wp.exe İnternet Bilgi Hizmetleri sunucularının işçi süreci.
Grubun e -posta sunucularını hedeflemekten veritabanlarından doğrudan çalmaya geçişinin altını çizmek, tehdit oyuncunun komut dosyası kullanımıdır. mssq.batdaha önce çalınan bir şifre korsanları kullanarak bir SQL Server veritabanına bağlanabilir. Komut dosyası sorgu arayanları yürütür ve sonuçları eksfiltrasyon için bir CSV dosyasına dışa aktarır.
Ünite 42 ilk tespit edilen etkinlik, şimdi bir değişim sunucusundan kaynaklanan şüpheli aktiviteyi tespit ettiği Haziran 2023’te Phantom Boğa’ya atfediyor. w3wp.exe Süreç, “soruşturma üzerine, tehdit oyuncusu tarafından konuşlandırılan bellek içi bir VBScript implantından kaynaklanıyor gibi görünüyordu.
Tehdit Intel firması, Çin tehdit oyuncusu C. Rufus güvenlik ekibi tarafından geliştirilen bir Truva atı olan Ghost Rat’tan kaynak kodunu büyük olasılıkla ödünç alan tehdit aktörünü gören Mayıs 2024’te Çin ile bağlantı kurabildi. Ghost Rat, 2008 yılına kadar görünmektedir ve Ghostnet olarak bilinen bir hack kampanyasında Dali Lama Tibet sürgün merkezlerini hedefleyen önemli bir rol oynamıştır.
Bilgi Güvenliği Medya Grubu’nun Kuzey Virginia’daki David Perera tarafından raporlanarak.