Dünya çapındaki hükümet, araştırma ve akademik kurumlar, devlet tarafından finanse edilen Çinli bilgisayar korsanları tarafından hedef odaklı bir kimlik avı kampanyasının hedefi oldu. Bu kampanyanın bir parçası olarak bilgisayar korsanları, Google Drive’da gizli kalan özel kötü amaçlı yazılımları dağıtır.
Araştırmacılar, saldırıları Earth Preta (diğer adıyla Mustang Panda, Bronze President, TA416) olarak bilinen bir APT grubu olarak bilinen bir grup siber casusluk korsanına bağlıyor ve Trend Micro araştırmacıları, Mart ve Ekim 2022 arasında bu grubun operasyonunu izledi.
Çinli bilgisayar korsanları, hedeflerini Google Drive’dan özel kötü amaçlı yazılım indirmeleri için kandırmak amacıyla, Google hesapları aracılığıyla çeşitli tuzaklarla kötü amaçlı e-postalar kullandı.
hedefler
Tehdit grubu tarafından hedef alınan temel olarak aşağıdaki ülkelerdeki kuruluşlar vardı:-
- Avustralya
- Japonya
- Tayvan
- Myanmar
- Filipinler
Bilgisayar korsanlarının hükümete ve yasal kuruluşlara gönderdikleri mesajların yaklaşık %84’ü jeopolitik temalar ve konular içeriyordu.
Aşağıda, birden çok kuruluş arasında esas olarak hedeflenen kuruluşlardan bahsettik:-
- Devlet
- Yasal
- Eğitim
- İşletme
- Ekonomi
- Siyaset
Enfeksiyon Zinciri
Trend Micro raporuna göre Gömülü bağlantılar, güvenlik mekanizmalarını atlatmak için bir Google Drive veya Dropbox klasörüne bağlanır. İki platform iyi bir üne sahiptir ve yasaldır, sonuç olarak etraflarında daha az şüphe vardır.
Bu bağlantılar sizi aşağıda listelenenler gibi sıkıştırılmış dosyalara götürecektir: –
Dosyalarda bulunan kötü amaçlı yazılım türleri arasında şunlar bulunur: –
- Ton Kabuğu
- ToneIns
- Yayın Yükü
Bu kötü amaçlı yazılım kampanyası, kurbanı hedeflemek için yukarıda belirtilen üç farklı kötü amaçlı yazılım türünü kullanırken.
E-postanın konusu boşsa veya konu, kötü amaçlı arşivle aynı ada sahipse, büyük olasılıkla spam e-postadır. Bilgisayar korsanları tarafından kullanılan birçok kötü amaçlı yazılım yükleme alışkanlığı vardı, ancak DLL’leri dışarıdan yüklemek en yaygın yaklaşımdı.
PubLoad gibi Stager’lar, aşağıdaki yollarla kalıcılık yaratmada harika bir iş çıkarıyor: –
- Kayıt defteri anahtarları ekleme
- Zamanlanmış görevler oluşturma
- Kabuk kodunun şifresini çözme
- Komuta ve kontrol (C2) iletişimlerini yönetme
PubLoad’un kullanıma sunulmasıyla Mustang Panda, analizle savaşmak için daha gelişmiş mekanizmalar dahil ederek aracı daha da geliştirmek için adımlar attı.
Son kampanyada ToneIns, ToneShell’i yüklemek için ana arka kapı olarak kullanıldı. ToneShell, algılamadan kaçınmak ve kalıcılığı sağlamak için gizlenmiş kodu yüklemek için güvenliği ihlal edilmiş sisteme yüklenir.
ToneShell arka kapısı doğrudan belleğe yüklenir ve bağımsız bir arka kapı işlevi görür. Özel istisna işleyicileri uygulamak, kod akışını gizlemek için kod akışının gizlenmesini sağlar.
Atıf
Bu son kampanyada, Secureworks tarafından bu yıl bildirilenlere benzer şekilde Mustang Panda TTP’ler kullanıldı. En son kampanyadan da görebileceğiniz gibi, bilgisayar korsanları daha iyi bir araç seti edindiler ve yeteneklerini muazzam bir şekilde genişletebiliyorlar.
Bunu yaparak, Çinli bilgisayar korsanlarının hedefleri hakkında istihbarat toplamasını ve güvenliklerini aşmasını kolaylaştırıyor.
Yoğun faaliyet dönemleri olmasına rağmen, ESET’in Mart 2022 raporu, Mustang Panda’nın aşağıdakiler genelinde kısa vadeli odaklanmış faaliyet patlamalarına bakılmaksızın küresel endüstri için bir siber casusluk tehdidi olduğunu ortaya koydu:-
- Güneydoğu Asya
- Güney Avrupa
- Afrika
öneriler
Uzmanlar, bir kuruluş için hafifletme planının bir parçası olarak aşağıdaki tavsiyeleri önermektedir:-
- Ortakları ve çalışanları sürekli olarak kimlik avı farkındalığı eğitimine dahil edin.
- Bir e-postayı açmadan önce, konuyu ve göndereni iki kez doğruladığınızdan emin olun.
- Daima güçlü ve benzersiz parolalar kullanın.
- Çok faktörlü koruma çözümlerini etkinleştirin.
- Tanınmış bir virüsten koruma programı kullandığınızdan emin olun.
- Parolanızı sık sık değiştirdiğinizden emin olun.
Azure Active Directory Güvenliği – Ücretsiz E-Kitap İndirin