- Çinli APT grubu Bronze Starlight, Güneydoğu Asya kumar sektörü için kötü amaçlı yazılım imzalamak için çalınan Ivacy VPN sertifikasını kullanıyor.
- Çalınan sertifika, güvenliği atlayarak ve normal yazılımlarla karışarak kötü amaçlı yazılımın meşru görünmesini sağlar.
- Saldırılar, 2022’de keşfedilen daha önceki ChattyGoblin Operasyonu ile bağlantılı olarak Mart 2023’te başladı.
- Siyasi kampanyalarıyla tanınan Bronze Starlight, sohbet uygulamaları ve sahte yazılım sürümleri aracılığıyla kötü amaçlı yazılım dağıtıyor.
- Kötü amaçlı yazılım, güvenlik açığı bulunan yazılımları hedefler ve bazı Batı ülkelerinde yürütmeyi engeller; DigiCert iptal edilmiş sertifika; PMG PTE LTD veya Ivacy VPN’den açıklama yok.
SentinelLabs araştırmacıları, Bronze Starlight olarak bilinen Çinli bir APT grubunun kötü amaçlı yazılımları geçerli bir sertifikayla imzaladığını keşfetti. Bu sertifika Ivacy VPN tarafından kullanılıyor ve bilgisayar korsanlarının hedefi Güneydoğu Asya’daki kumar endüstrisi.
Bilgisayar korsanları bu tekniği kullanarak, kötü amaçlı yazılımın şüphe uyandırmadan tüm güvenlik önlemlerini atlayarak hedef cihazları işgal etmesini sağlayabilir. Ayrıca meşru yazılım trafiğine kolayca karışabilir.
Sorunun ilk olarak tarafından bildirildiğini belirtmekte fayda var. Kötü Amaçlı Yazılım Avcısı Ekibi 29 Mayıs 2023’te X’te (önceden Twitter olarak biliniyordu) ve daha sonra SentinelLabs tarafından analiz edildi. Araştırmacılara göre çalınan bu sertifika, Ivacy VPN’in geliştiricisi olan Singapur merkezli VPN satıcısı PMG PTE LTD’ye ait.
Aleksandar Milenkoski tarafından yazılan SentinelLabs blog yazısında, ilk saldırı dalgası Mart 2023’te gözlemlendi; ancak, ChattyGoblin Operasyonu (2022’nin sonlarında ESET tarafından keşfedildi) adlı halihazırda devam etmekte olan bir bilgisayar korsanlığı kampanyasının devamı olabilir.
Bronze Starlight (namı diğer DEV-0401 ve SLIME34), finansal amaçlı kampanyalar yerine çoğunlukla casusluk ve siyasi amaçlı kampanyalar yürüten Çinli bir fidye yazılımı grubudur. SecureWorks ve Microsoft tarafından daha önce bildirildiği üzere, grubun birincil silahı LockFile, LockBit 2.0, NightSky, AtomSilo, Pandora vb. dahil olmak üzere fidye yazılımıdır.
Saldırı, güvenliği ihlal edilmiş sohbet uygulamaları aracılığıyla AdventuresQuest.exe gibi .NET çalıştırılabilir dosyalarının hedeflenen cihaza teslim edilmesiyle başlar. Bu özel dosya ilk olarak MalwareHunterTeam’in siber güvenlik uzmanı tarafından gözlemlendi ve daha sonra bunu X’te bildirdiler.
MalwareHunterTeam’in gözlemine göre, bu saldırıda kullanılan sertifika gerçek Ivacy VPN kurulumlarında kullanılan sertifikaya benziyordu.
“PMG PTE.LTD.” imzalı “AdventureQuest.exe”: 43fb2d2e7596bed395bba6e012d0ee13ed61856cd63db47bf94160881d3e3ac7
www.100helpchat[.]iletişim
🤔 pic.twitter.com/OqLfTPwdGX— MalwareHunterTeam (@malwrhunterteam) 29 Mayıs 2023
Yürütülebilir dosyalar daha sonra Microsoft Edge, Adobe Creative Cloud ve McAfee VirusScan gibi DLL hırsızlığına açık popüler programların sahte veya virüslü sürümleri aracılığıyla Alibaba depolama havuzlarından parola korumalı ZIP arşivlerini alır.
SentinelLabs tarafından yapılan daha fazla araştırma, yürütülebilir dosyaların kötü amaçlı yazılımların ABD, Fransa, Almanya, Rusya, Hindistan, Kanada ve Birleşik Krallık gibi belirli, önceden tanımlanmış Batı ülkelerinde yürütülmesini önlemek için coğrafi kısıtlamalar kullandığını ortaya çıkardı. Bunun nedeni, bilgisayar korsanlarının ya bu bölgeleri hedeflemekle ilgilenmemeleri ya da bu kampanyanın başarı şansını artırmak için kasıtlı olarak bu bölgelerden kaçınmaları olabilir.
Araştırmacılar, PMG PTE LTD web sitesinde de bulunan Ivacy VPN’in sertifikası kullanılmış olmasına rağmen, VPN satıcısının bu saldırıya karışmış gibi görünmediğine inanıyor.
“Bir noktada PMG PTE LTD imzalama anahtarının çalınmış olması muhtemeldir – bilinen Çinli tehdit aktörlerinin kötü amaçlı yazılım imzalamayı etkinleştirmek için kullandıkları tanıdık bir teknik.”
Aleksandar Milenkoski – SentinelLabs Kıdemli Tehdit Araştırmacısı
Bu yaygın bir uygulamadır, çünkü VPN’ler, sunabilecekleri hassas veri ve iletişim hazinesi nedeniyle sıklıkla APT gruplarının hedefi haline gelir. Çinli bilgisayar korsanlarının Ivacy VPN aracılığıyla ne tür veriler elde edebileceği net değil. Bilginiz olsun, sertifika DigiCert tarafından iptal edilmiştir.
Şaşırtıcı bir şekilde, ne PMG PTE LTD ne de Ivacy VPN bu konuyla ilgili herhangi bir resmi açıklama yapmadı.
ALAKALI HABERLER
- TeamViewer, 2016’da Çinli Hackerlar Tarafından Hedef Alındı
- Çinli VPN uygulaması Quickfox, 1 milyon kullanıcının verilerini ifşa ederken yakalandı
- Çinli APT grubu FoundCore RAT ile Vietnam ordusunu gözetliyor