IBM X-Force araştırmacıları, Çin’e uyumlu tehdit oyuncusu HIVE0154 tarafından düzenlenen bir dizi hedefli siber saldırıyı ortaya çıkardılar.
2025 boyunca bu grup, Tibet topluluğuna yönelik titizlikle hazırlanmış kimlik avı yemleri aracılığıyla güçlü bir arka kapı olan Puboad kötü amaçlı yazılımını dağıtıyor.
Bu kampanyaların zamanlaması özellikle dikkat çekicidir ve Dalai Lama’nın 90. doğum günü ve 2-4 Haziran 2025 tarihleri arasında Tokyo’da düzenlenen 9. Dünya Parlamenterlerinin Tibet (WPCT) sözleşmesi gibi önemli olaylarla çakışır.
.png
)
HIVE0154 Tibet topluluğunu hedefliyor
HIVE0154’ün stratejisi, Çin’in Tibet Otonom Bölgesi (TAR), Dalai Lama’nın 2025 kitabı “Sessiz İçin Ses” ve WPCT’nin kendisi gibi önemli konuları atıfta bulunan dosya adlarını ve belgeleri kullanarak kültürel ve politik olarak hassas konuları kullanmayı içerir.
Bu hesaplanan yaklaşım, grubun hedeflenen demografik içindeki güven ve merakı manipüle etme niyetinin altını çiziyor ve genellikle şüphesiz kurbanların meşru içerik olarak gizlenmiş kötü niyetli dosyaları yürütmesine yol açıyor.
Teknik karmaşıklıklara giren HIVE0154, genellikle silahlandırılmış fermuar veya rar arşivleri indiren Google Drive URL’lerini yerleştirerek mızrak kimlik avı e -postaları kullanır.
Bu arşivler tipik olarak kötü amaçlı bir talep yükleyici DLL ile birlikte DLL kenar yüklemesine karşı savunmasız bir iyi huylu yürütülebilir bir şekilde içerir.
Yürütme üzerine, İstekloader kayıt defteri anahtarları aracılığıyla kalıcılık oluşturur ve Tripledes algoritmasını kullanarak gömülü bir pubroad yükünü çözer.
Pubroad kötü amaçlı enfeksiyon zinciri
Yük, daha sonra bir ters kabuktan anında erişimi sağlayan hafif bir arka kapı olan Pubshell’i indirerek belleğe enjekte edilir.
Enfeksiyon zinciri, HIVE0154’ün gelişmiş yeteneklerini sergileyerek, yerel API’ler kullanarak ithalatları dinamik olarak çözerek ve geri arama yoluyla yüklemeler yaparak da gizlenir.
Tibet topluluğunun ötesinde, paralel kampanyalar, ABD Donanması gibi varlıkları, daha geniş bir casusluk gündemini gösteren stratejik askeri katılımlara atıfta bulunan lures ile hedef aldı.
X-Force, Tibet Hükümeti’nin sürdürüldüğü Hindistan’dan gönderilen dosyaların yerelleştirilmiş hedeflemeyi önerdiğini, silahlı arşivlerdeki Tibet web sitelerinden meşru belgelerin ve fotoğrafların kullanılmasının, kullanıcıları enfeksiyonları tetiklemek için kandırmak için bir aldatma katmanı eklediğini belirtiyor.
Mustang Panda ve Camaro Dragon gibi gruplarla örtüşen HIVE0154, kötü amaçlı yazılım cephanesini rafine etmeye devam ederek küresel olarak kamu ve özel kuruluşlara yüksek bir tehdit seviyesi korumaya devam ediyor.
Kuruluşlardan Google Drive bağlantılarıyla dikkatli olmaları, şüpheli TLS 1.2 uygulama veri paketlerini izlemeleri ve indirilen arşivlerde beklenmedik dosya uzantılarını incelemeleri istenir.
HIVE0154’ün kampanyaları geliştikçe, bu tür sosyal olarak tasarlanmış tehditlere karşı uyanık kalmak çok önemlidir.
Uzlaşma Göstergeleri (IOC)
| Gösterge | Gösterge Türü | Bağlam |
|---|---|---|
| 2BD60685299C62ABE500FE80E9F03A627A1567059CE213D7C0CC762FA32552D7 | SHA256 | İstemci DLL |
| C80dfc678570bde7c19df21877a15cc7914d3f7a3cef5f99fce26fcf696c444 | SHA256 | İstemci DLL |
| 93F1FD31E197A58B03C6F5F774C1384FD0316AB1172D9B26EF5A4A32831637 | SHA256 | İstemci DLL |
| 37384c5e7c5764258947721c7729f221fb47ef53d47a7af5db5426f1e7c13d | SHA256 | İstemci DLL |
| 8cd4324e1e764aafba4ea0394a82943cefd7deeee28a6cbd19f2ba69de6a5766 | SHA256 | İstemci DLL |
| 218.255.96[.]245: 443 | IPv4 | Puboad C2 Sunucusu |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin