Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar , Sosyal Mühendislik
APT Grubu, G7 Yetkililerine Gönderdiği E-postalarda Endonezya Dışişleri Bakanlıkları Kılığına Girdi
Jayant Chakraborty (@JayJay_Tech) •
21 Haziran 2023
Şüpheli Çinli APT grupları, Mayıs ayında Japonya’nın Hiroşima kentinde düzenlenen bir G7 zirvesine katılan yabancı hükümet yetkililerine karşı kötü amaçlı yazılım saldırıları başlatmak için 17 yıllık bir Microsoft Office güvenlik açığından yararlandı.
Ayrıca bakınız: Canlı Web Semineri | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
Tehdit aktörleri, küresel gıda güvenliği konulu bir oturuma katılan ve aynı zamanda Çin’in askeri ve ekonomik politikalarına özgü konuları tartıştıkları Fransa, Birleşik Krallık, Hindistan, Singapur ve Avustralya’dan hükümet yetkililerini hedef aldı.
Siber güvenlik şirketi SentinelOne, yabancı hükümet yetkililerine gönderilen e-postalarda Çinli APT gruplarının Endonezya Dışişleri Bakanlığı ve Ekonomik İşler Bakanlığı kılığına girdiğini gözlemlediğini bildirdi. E-postalar, yetkilileri eki indirmeye ikna etmek için “Dayanıklı Küresel Gıda Güvenliği için Hiroşima Eylem Bildirimi” adlı kötü amaçlı, zengin metin biçiminde bir dosya içeriyordu.
Kötü amaçlı e-postalar gerçek gibi görünüyordu. Bir devlet kurumu tarafından gönderilmiş gibi görünüyorlardı ve belgenin üslubu, G7 ülkeleri tarafından 20 Mayıs’ta yayınlanan eylem bildirisiyle eşleşiyordu.
Çin, 20 Mayıs’ta Hiroşima Zirvesi’nde G7 ülkeleri tarafından yayınlanan ve G7 grubunun uluslararası barışı engellediğini, bölgesel istikrarı baltaladığını ve diğer ülkelerin kalkınmasını engellediğini belirten açıklamaları ciddi şekilde eleştirdi.
SentinelOne, APT gruplarının kötü amaçlı RTF dosyalarını, saldırganların virüslü cihazlarda rasgele kod çalıştırmasına olanak tanıyan 17 yıllık bir Microsoft Office bellek bozulması güvenlik açığından yararlanmak için hazırladığını söyledi. Microsoft, CVE-2017-11882 olarak izlenen güvenlik açığını 2017’de düzeltti ve güvenlik açığının Microsoft Office yazılımının bellekteki nesneleri düzgün bir şekilde işlememesi nedeniyle ortaya çıktığını belirtti.
Microsoft, “Güvenlik açığından yararlanılması, bir kullanıcının özel hazırlanmış bir dosyayı Microsoft Office veya Microsoft WordPad yazılımının etkilenen bir sürümüyle açmasını gerektirir” dedi.
“Geçerli kullanıcı, yönetici kullanıcı haklarıyla oturum açtıysa, bir saldırgan etkilenen sistemin denetimini ele geçirebilir. Daha sonra bir saldırgan programlar yükleyebilir, verileri görüntüleyebilir, değiştirebilir veya silebilir ya da tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir. sistemde daha az kullanıcı haklarına sahip olacak şekilde yapılandırılanlar, yönetici kullanıcı haklarıyla çalışan kullanıcılardan daha az etkilenebilir.”
SentinelOne WatchTower’ın Asya-Pasifik bölgesi tehdit avcılığı yöneticisi Niranjan Jayanand, Information Security Media Group’a saldırganların RTF dosyasını oluşturmak için RoyalRoad oluşturucu aracını kullandığını söyledi.
SentinelOne’ın e-posta tabanlı saldırıları belirli bir APT grubuna bağlayamayacağını, ancak 2017’de birkaç Çinli APT grubunun yabancı hükümet yetkililerini hedef almak için Microsoft Office dosyalarını zehirlemek için RoyalRoad kullandığını söyledi. RTF dosyası indirildiğinde, 13.236.189.80 IP adresine sahip uzak bir komuta ve kontrol sunucusuna bağlanan bilgi hırsızı kötü amaçlı yazılımı dağıttı.
2021’de siber güvenlik şirketi Cybereason, Çinli bir tehdit grubunun, Rus Donanması için nükleer denizaltı teknolojisi geliştiren bir savunma yüklenicisini hedeflemek için kullanılan kötü amaçlı RTF dosyaları oluşturmak için RoyalRoad istismar oluşturucuyu nasıl kullandığını açıkladı.
Tehdit istihbaratı şirketi Group-IB Şubat ayında, Çin devlet destekli bir casusluk grubu olan Tonto Ekibinin, hedefli kimlik avı için sahte bir RTF belgesini silah haline getirmek için “esas olarak Çinli APT grupları tarafından kullanılan” bir kötü amaçlı yazılım aracı olan RoyalRoad istismar oluşturucusunu kullandığını söyledi. çalışanlarını hedef alan operasyon (bkz: Çinli Tehdit Grubu Başarısız Saldırıda Hacking Sırlarını Sızdırdı).