Microsoft Pazartesi günü Çin merkezli bir siber casusluk aktörünü Güney Amerika’daki diplomatik varlıkları hedef alan bir dizi saldırıya bağladı.
Teknoloji devinin Güvenlik İstihbarat ekibi, ortaya çıkan takma adla kümeyi izliyor DEV-0147, açıklayan faaliyet, “grubun geleneksel olarak Asya ve Avrupa’daki devlet kurumlarını ve düşünce kuruluşlarını hedef alan veri hırsızlığı operasyonlarının bir uzantısı” olarak.
Tehdit aktörünün, hedeflere sızmak ve kalıcı erişimi sürdürmek için ShadowPad gibi yerleşik bilgisayar korsanlığı araçlarını kullandığı söyleniyor.
PoisonPlug olarak da adlandırılan ShadowPad, PlugX uzaktan erişim truva atının halefidir ve Secureworks’e göre Devlet Güvenlik Bakanlığı (MSS) ve Halk Kurtuluş Ordusu’na (PLA) bağlantıları olan Çin hasım kolektifleri tarafından yaygın olarak kullanılmaya başlanmıştır.
DEV-0147 tarafından kullanılan diğer kötü amaçlı araçlardan biri, adı verilen bir web paketi yükleyicisidir. QuasarYükleyicigüvenliği ihlal edilmiş ana bilgisayarlara ek yüklerin dağıtılmasına izin verir.
Redmond, DEV-0147’nin bir hedef ortama ilk erişimi elde etmek için kullanıyor olabileceği yöntemi açıklamadı. Bununla birlikte, yama uygulanmamış uygulamaların kimlik avı ve fırsatçı hedeflemesi olası vektörlerdir.
Microsoft, “DEV-0147’nin Güney Amerika’daki saldırıları, keşif ve yanal hareket için şirket içi kimlik altyapısının kötüye kullanılmasını ve komuta ve kontrol ve veri hırsızlığı için Cobalt Strike’ın kullanılmasını içeren sömürü sonrası faaliyetleri içeriyordu” dedi.
DEV-0147, son aylarda ShadowPad’den yararlanan Çin merkezli tek gelişmiş kalıcı tehdit (APT) olmaktan çok uzak.
Eylül 2022’de NCC Group, WSO2’deki kritik bir kusuru (CVE-2022-29464, CVSS puanı: 9.8) kötüye kullanan ve web kabuklarını düşüren ve bir enfeksiyon zincirini etkinleştiren isimsiz bir kuruluşu hedef alan bir saldırının ayrıntılarını ortaya çıkardı. İstihbarat toplama için ShadowPad.
ShadowPad ayrıca, savunmasız ve İnternet bağlantılı bir Microsoft Exchange Sunucusunun başarılı bir şekilde kullanılması yoluyla ASEAN üyesi bir dışişleri bakanlığını hedef alan bir saldırıda kimliği belirsiz tehdit aktörleri tarafından kullanılmıştır.
Elastic Security Labs tarafından REF2924 olarak adlandırılan etkinliğin, Winnti (diğer adıyla APT41) ve ChamelGang gibi diğer ulus-devlet grupları tarafından benimsenenlerle taktik çağrışımları paylaştığı gözlemlendi.
“REF2924 saldırı seti […] kampanyalarda gözlemlendiğinde sponsorlu bir ulusal stratejik çıkarla uyumlu önceliklere odaklanmış görünen bir saldırı grubunu temsil ediyor” dedi.
Çinli bilgisayar korsanlığı gruplarının ShadowPad’i yıllar boyunca iyi belgelenmiş olmasına rağmen kullanmaya devam etmesi, tekniğin bir miktar başarı sağladığını gösteriyor.