Birim 42'deki siber güvenlik araştırmacıları, Güneydoğu Asya Ülkeleri Birliği'nin (ASEAN) kuruluşlarını ve üye ülkelerini hedef alan iki Çin Gelişmiş Kalıcı Tehdit (APT) grubu tarafından düzenlenen karmaşık bir siber casusluk kampanyasını ortaya çıkardı.
Bu endişe verici gelişme, Güneydoğu Asya bölgesindeki ulusların karşı karşıya olduğu artan siber tehditlerin altını çiziyor ve küresel siber güvenlik normlarına meydan okumaya devam eden karmaşık dijital casusluk faaliyetleri ağını vurguluyor.
Palo Alto Networks'ün 42. Birimi, iki Çinli bilgisayar korsanlığı grubunun son 90 gün içinde bölgeyi hedef alan siber casusluk faaliyetlerini tespit etti.
Saldırganlar:
- Görkemli Boğa (diğer adıyla Mustang Panda): En az 2012'den beri aktif olan ve küresel olarak devlet kurumlarını, kar amacı gütmeyen kuruluşları ve STK'ları hedef alan, bilinen bir Çinli APT grubu.
- İkinci Tanımlanamayan Çinli APT Grubu: Yakın zamanda ASEAN'a bağlı bir kuruluştan taviz verildi ve benzer faaliyetler diğer üye ülkelerde de gözlendi.
Görkemli Boğa burcunun aktivitesi:
ASEAN-Avustralya Özel Zirvesi (4-6 Mart 2024) ile aynı zamana denk gelen Stately Taurus, muhtemelen Myanmar, Filipinler, Japonya ve Singapur'daki kuruluşları hedef alan iki kötü amaçlı yazılım paketi oluşturdu.
Raporda, ASEAN'a bağlı kuruluşların, bölgedeki diplomatik ilişkiler ve ekonomik kararlarla ilgili hassas bilgilerin işlenmesindeki önemli rolleri nedeniyle casusluk operasyonları için özellikle çekici hedefler olduğu belirtiliyor.
Paket 1: The Talking_Points_for_China.zip
- Kötü amaçlı kodları dışarıdan yükleyen, yeniden adlandırılmış, imzalanmış bir tuş kaydetme önleme programını içeren bir ZIP arşivi.
- Hedefler kötü amaçlı bir sunucuya (103.27.109.157:433) bağlanmaya çalışır.
- CSIRT-CTI tarafından bildirilen bir kampanyaya benzer.
Paket 2: Not PSO.scr:
- Myanmar'ı hedef alan yürütülebilir bir ekran koruyucu.
- Zararsız bir yürütülebilir dosyayı (WindowsUpdate.exe) ve kötü amaçlı bir DLL'yi (EACore.dll) indirir.
- Farklı bir C2 sunucusuna bağlanmaya çalışır ([invalid URL removed] 146.70.149.36'da).
İkinci Faaliyet: Kimliği belirlenemeyen Çinli APT Grubu
- Birim 42, APT grubunun komuta ve kontrol (C2) altyapısına bağlı, ASEAN'a bağlı bir kuruluş içindeki güvenliği ihlal edilmiş sistemleri keşfetti.
- Bu ağ bağlantı modeli, bölgedeki diğer devlet kurumlarında da gözlemlendi.
- Hedeflenen altyapı, özellikle C2 iletişimi için kullanılan IP adreslerini ve etki alanlarını içerir.
- İlginç bir şekilde, saldırganlar, etkinliklerin Çin Standart Saati'ne (UTC+08:00) göre hafta içi günlerde yoğunlaştığı ve Ay Yeni Yılı gibi tatillerde gözle görülür bir duraklamanın olduğu bir “çalışma programı” izliyor gibi görünüyor.
Azaltma:
Palo Alto Networks, kuruluşların bu tehditlere karşı savunma yapmasına yardımcı olmak için aşağıdakiler de dahil olmak üzere çeşitli güvenlik çözümlerinden faydalanılmasını önermektedir:
- DNS Güvenliği ve Gelişmiş URL Filtreleme
- WildFire tehdit tespit motoru
- WildFire entegrasyonuna sahip Prisma Cloud Defender aracıları
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan