Ocak ayında, Doğu Avrupa’daki birçok ülkede hükümet ve askeri sektörlerin yanı sıra savunma endüstrisindeki firmalara arka kapı açmak için yeni Windows kötü amaçlı yazılım kullanan bir dizi saldırı tespit edildi.
Bu kampanya ile bilgi hırsızlığı ve casusluk faaliyetleri için Asya ve Doğu Avrupa’daki kuruluşları hedef alan Çin merkezli TA428 olarak izlenen bir APT grubu arasında bağlantı kuruldu.
Bu kampanya sırasında, güvenlik kontrol sistemlerine erişim sağlamak için tasarlanmış bilgisayar korsanlığı girişimlerinden onlarca hedef etkilendi.
Hatta güvenlik yönetimi çözümlerini ele geçirdiklerinde ve tüm bilgisayar ağlarını ve BT altyapılarını devraldıklarında tüm BT altyapılarının tam kontrolünü ele geçirmeyi bile başardılar.
Hedeflenen Kurbanlar
Aşağıdakiler de dahil olmak üzere bir dizi hedef saldırı tarafından hedef alındı: –
- Endüstriyel tesisler
- Tasarım büroları
- Araştırma enstitüleri
- Devlet kurumları
- Bakanlıklar ve bölümler
Tüm bu hedeflerin çoğunlukla aşağıdakiler gibi Doğu Avrupa’daki birkaç ülkeye dayandığını belirtmek önemlidir:-
- Belarus
- Rusya
- Ukrayna
- Afganistan
Yeni Bir Arka Kapının Dağıtımı
Hedeflerine ulaşmanın bir yolu olarak mızraklı oltalama e-postalarını kullanan Çinli siber casuslar, hedeflerinde başarılı oldular. PortDoor kötü amaçlı yazılımı, Microsoft Office’teki CVE-2017-11882 güvenlik açığından yararlanmak için bu e-postalar aracılığıyla dağıtılır.
Çin destekli bilgisayar korsanlarının Nisan 2021’de mızraklı kimlik avı saldırılarının bir parçası olarak PortDoor’u kullandığına dair kanıtlar da var. Bilgisayar korsanları, bir Rus Donanması denizaltı tasarım şirketine saldırmak için yüklenicinin sistemlerini hackledi.
Geçmişte TA428 ile bağlantılı diğer kötü amaçlı yazılımlara ek olarak, grup tarafından sisteme daha önce görülmemiş CotSam adlı yeni bir kötü amaçlı yazılım türü yüklendi.
Saldırganlar, CotSam’ın teslimatının bir parçası olarak, yüke Microsoft Word’ün savunmasız bir sürümünü de dahil etti, bu da saldırganların izlerini gizlemelerini mümkün kıldı.
Etki alanı ayrıcalıkları elde etmek ve kurbanlarının kurumsal ağlarından gizli bilgileri toplamak için kurbanın ağı boyunca yanlamasına hareket ederler.
Ardından ZIP arşivlerini şifreli ve parola korumalı olarak farklı ülkelerde bulunan C2 sunucularına farklı şifreleme algoritmaları kullanarak gönderdiler.
Öneriler
Buna rağmen, C2 sunucuları çalınan tüm verileri Çin’de IP adresi olan ikinci aşama bir sunucuya göndererek üçüncü tarafa iletti.
Kampanyanın TTP’lerinde bu grubun önceki etkinliğiyle önemli bir örtüşme, onu TA428’e bağlayan noktalardan biridir.
Ayrıca, diğer satıcılar bu Çinli APT grubunu önceki saldırılarda kullanılan kötü amaçlı yazılımlara ve sunuculara bağladı. Aşağıda tüm önerilerden bahsettik: –
- Güvenlik çözümlerinizin antivirüs veritabanlarını ve yazılım modüllerini güncellemek, güvenlik yazılımınızın merkezileştirilmiş güvenlik politikası yönetimini desteklemesini sağlamanın anahtarıdır.
- Tüm güvenlik yazılımı bileşenleri etkinleştirildiğinde korumayı devre dışı bırakmak için yönetici parolası gerektiren bir ilke mevcuttur.
- Active Directory ilkeleri aracılığıyla Active Directory sistemlerine kullanıcı erişimini kısıtlayın.
- VPN’ler dahil, yalnızca OT ağında bulunan sistemlerin ağa bağlanmasına izin verildiğinden emin olun.
- Tüm kurum çalışanlarının kurum içindeki internet kaynaklarına nasıl güvenli bir şekilde erişileceği ve kullanılacağı konusunda eğitim almasını sağlayın.
- Parola karmaşıklığı gereksinimleri olan parola ilkeleri uygulanmalıdır.
- Güvenliği sağlamak için şifreleri düzenli olarak değiştirmeye ihtiyaç vardır.
- ICS’ye özel güvenlik çözümleri kullanılmalıdır.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.