Çinli APT grubu Earth Estries (diğer adıyla Salt Typhoon, FamousSparrow, GhostEmperor ve UNC2286) 2023 yılından bu yana çoğunlukla ABD, Asya-Pasifik, Orta Doğu ve Güney Afrika’daki telekomünikasyon şirketleri de dahil olmak üzere devlet kurumlarını ve hayati endüstrileri hedef aldı.
Grup, Güneydoğu Asya’daki çeşitli devlet kurumlarını ve telekomünikasyon firmalarını etkileyen GHOSTSPIDER, SNAPPYBEE ve MASOL RAT dahil olmak üzere gelişmiş saldırı yöntemleri ve çeşitli arka kapılar kullanıyor.
Grup, birçok ülkede telekomünikasyon, teknoloji, danışmanlık, kimya ve ulaştırma gibi çeşitli iş kollarının yanı sıra devlet kurumları ve sivil toplum kuruluşlarını (STK’lar) hedef alan 20’den fazla kuruluşla anlaşma sağladı.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Çinli APT Grubunun Gelişen Taktikleri
TrendMicro’ya göre, Güneydoğu Asya’daki telekom işletmelerine yapılan saldırılar sırasında yeni bir arka kapı olan GHOSTSPIDER bulundu.
GHOSTSPIDER, önceden belirlenmiş kriterlere göre çeşitli modülleri yükleyen, çok katmanlı, gelişmiş, çok modüler bir arka kapıdır. Bu arka kapı, C&C sunucusuyla etkileşim kurmak için Aktarım Katmanı Güvenliği (TLS) tarafından güvence altına alınan benzersiz bir protokol kullanır.
Kuruluş ayrıca, Çinli APT grupları arasında yaygın olan bir teknoloji olan ve Deed RAT olarak da bilinen modüler bir arka kapı olan SNAPPYBEE’den de yararlandı.
Ek olarak Earth Estries, 2020 yılında PDB dizisine dayanarak Güneydoğu Asya’daki hükümet olaylarını araştırırken keşfedilen platformlar arası bir arka kapı olan MASOL RAT’ı kullanıyor.
Ancak bu yıl araştırmacılar, Earth Estries’in Güneydoğu Asya’daki hükümet ağlarını hedeflemek için Linux tabanlı MASOL RAT kullanmaya başladığını gördü.
Earth Esties, 2020’den bu yana hükümetlere ve internet servis sağlayıcılarına karşı uzun süreli saldırılar gerçekleştiriyor.
Araştırmacılar, saldırganların hayati önem taşıyan hizmetlere (veritabanı sunucuları ve bulut sunucuları gibi) ek olarak telekom şirketinin satıcı ağına da saldırdığını tespit etti.
Satıcıların bilgisayarlarına DEMODEX rootkit’i ile sızdıkları ortaya çıktı.
Earth Estries, kurbanların kamuya açık olan sunucularını aktif olarak hedefliyor. Aşağıdakiler gibi sunucu tabanlı N günlük güvenlik açıklarından yararlandıkları gözlemlendi:
“Savunmasız sunucunun kontrolünü ele geçirdikten sonra, saldırganların yatay hareket için WMIC.exe ve PSEXEC.exe gibi arazide yaşayan ikili dosyalardan (LOLBIN’ler) yararlandığını ve SNAPPYBEE, DEMODEX ve GHOSTSPIDER gibi özelleştirilmiş kötü amaçlı yazılımları konuşlandırdığını gözlemledik. Araştırmacılar, hedeflerine karşı uzun vadeli casusluk faaliyetleri yürütmeyi amaçlıyor” dedi.
Birden fazla ekip Earth Estries’in karmaşık C&C altyapısını izliyor. Faaliyetleri sıklıkla diğer tanınmış Çin APT kuruluşlarının TTP’leriyle örtüşüyor ve bu da hizmet olarak kötü amaçlı yazılım satıcılarının ortak araçlarını kullanıyor olabileceklerini gösteriyor.
Earth Estries, uç cihazlardan başlayan ve bulut ortamlarına yayılan gizli saldırılar gerçekleştirerek algılamayı zorlaştırır.
Siber casusluk faaliyetlerini başarılı bir şekilde gizleyen operasyonel ağlar oluşturmak için çeşitli teknikler kullanarak hassas hedeflere erişme ve bunları izleme yaklaşımlarında yüksek derecede beceri sergiliyorlar.
Bu nedenle şirketlerin ve güvenlik personelinin siber casusluk çabalarına karşı dikkatli olmaları ve siber güvenlik savunmalarını proaktif bir şekilde güçlendirmeleri zorunludur.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın