Çin devlet destekli aktörlerle bağlantılı sofistike bir siber başlık kampanyası, siberlik araştırmacılarına göre Avrupa, Afrika ve Amerika’daki organizasyonlara sızmak için daha önce yamalı bir kontrol noktası VPN güvenlik açığından (CVE-2024-24919) sömürdü.
Haziran 2024 ile Ocak 2025 arasında gözlemlenen saldırılar, esas olarak üretim sektörünü hedef aldı, Shadowpad kötü amaçlı yazılımları ve sınırlı durumlarda Nailaolocker fidye yazılımı kullandı.
Check Point, saldırganların VPN kimlik bilgilerini ve ihlal ağlarını çalmasına izin veren sıfır gün kusurunun (Mayıs 2024’te) sömürülmesini doğruladı.
Saldırı metodolojisi ve kötü amaçlı yazılım dağıtım
Tehdit oyuncusu, CHECT Point’in ağ güvenlik ağ geçitlerinde bir güvenlik açığı olan CVE-2024-24919’dan geçerli VPN kimlik bilgilerini hasat etmek için kullandı.
İlk erişim elde ettikten sonra, yanal olarak etki alanı denetleyicilerine doğru hareket etmek için uzak masaüstü protokolünden (RDP) ve sunucu mesaj bloğundan (SMB) yararlanarak ağ keşifleri yaptılar.
Tespitten kaçınmak için saldırganlar, DLL sideloading kullandılar – Fxssvc.exe veya Logonui.exe Dizinlerden kötü niyetli DLL’ler yüklemek için C: \ perflogs.
Bu, gelişmiş gizleme ve komut ve kontrol (C2) özellikleri ile bilinen modüler bir kötü amaçlı yazılım olan ShadowPad’in gizli kurulumunu sağladı.
Vakaların bir alt kümesinde, saldırganlar Nailaolocker fidye yazılımı konuşlandırdı, ancak araştırmacılar bunun temel bir hedeften ziyade fırsatçı göründüğünü vurguluyorlar.
Check Point’in araştırmaları, tehlikeye atılan uç noktaların sıklıkla bir adlandırma sözleşmesi izlediğini ortaya koydu (örneğin, Masaüstü-o82ilgg), otomatik kimlik bilgisi sömürüsü önermek.
Anormal coğrafi bölgelere bağlı IP adresleri de dahil olmak üzere olağandışı oturum açma modelleri, daha da koordineli saldırıları gösterdi.
Küresel etki ve sektör odağı
Sağlık, lojistik ve enerji kuruluşları da etkilenmiş olsa da, imalat firmaları teyit edilen hedeflerin% 60’ından fazlasını oluşturdu.
Kampanyanın coğrafi yayılımı, Almanya, Brezilya, Güney Afrika ve Hindistan’da bildirilen müdahalelerle saldırganların geniş ekonomik casusluk hedeflerini vurgulamaktadır.
Analistler, üretime odaklanmayı, Çin devlet destekli siber operasyonların kalıplarıyla uyumlu olarak, sektörün tedarik zincirleri ve fikri mülkiyet geliştirmedeki rolüne bağlar.
Tespit ve azaltma stratejileri
Check Point, müşterileri Quantum Security Gateway ve CloudGuard Network Security dahil olmak üzere etkilenen ürünler için 27 Mayıs 2024’te yayınlanan yamaların kurulumunu doğrulamaya çağırdı.
Şirket ayrıca yerel VPN hesapları ve ağ geçitlerine bağlı LDAP kullanıcıları için şifre sıfırlamaları önerdi.
Kuruluşlara şu göstergeleri avlamaları tavsiye edilir:
- Tanınmayan cihazlardan veya “imkansız seyahat” ile ilişkili IP’lerden olağandışı VPN girişleri (örn., Saatler içinde uzak konumlardan ardışık oturum açma).
- VPN IP’lerinden kaynaklanan şüpheli RDP oturumları ve hedefleme alan denetleyicileri.
- İkili dosyaların yürütülmesi C: \ perflogs veya yetkisiz hizmet yaratımları.
Harmony Endpoint (sürüm 88.50+) ve Check Point’in tehdit emülasyon platformu gibi uç nokta koruma çözümleri Shadowpad ve Nailaolocker yüklerini bloke etmek için güncellendi.
Kötü amaçlı alan adlarına DNS istekleri için ağ izleme (örn. update.grayshoal[.]com) ve IPS (104.168.235[.]66) de kritiktir.
Jeopolitik gerginlikler yakıt siber savaşı olarak, işletmelerin sıfır-tröst mimarilerini benimsemeleri ve VPN erişimi üzerinde çok faktörlü kimlik doğrulama (MFA) uygulaması istenir.
Fidye yazılımı aktörleri, casusluk operasyonlarına giderek daha fazla piggybacking yaparken, proaktif tehdit avı teminat hasarını azaltmada vazgeçilmez kalıyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free