Sophos, Güneydoğu Asya hükümetini hedef alan uzun vadeli bir siber casusluk çalışması olan “Kızıl Saray Operasyonu”nu açığa çıkarıyor. Saldırganların hassas askeri, ekonomik ve Güney Çin Denizi verilerini çalmak için DLL yan yüklemesini ve VMware açıklarından nasıl yararlandığını öğrenin. Güneydoğu Asya’nın gelecekteki siber saldırılara karşı nasıl savunma yapabileceğini keşfedin.
Siber güvenlik firması Sophos, “Kızıl Saray” adlı büyük ölçekli bir casusluk kampanyasının ayrıntılarını paylaştı. Çin devleti destekli bu çaba, DLL’yi dışarıdan yükleme ve VMware’den yararlanma gibi taktiklerle yaklaşık iki yıl boyunca Güneydoğu Asya’daki bir devlet kurumunu hedef aldı.
Sophos MDR’nin insan liderliğindeki tehdit avı hizmetine göre, Çin devleti destekli çok sayıda aktör 2022’nin başlarından bu yana aktif durumda ve birkaç haftalık durgunluğa rağmen, Sophos’un “karma varlık” olarak sınıflandırdığı organizasyonu hedef alan izinsiz giriş faaliyetleri devam ediyor.
Sophos, etkinliği ilk olarak Mart 2022’de Earth Preta’ya atfedilen NUPAKAGE kötü amaçlı yazılımının tespit edilmesiyle keşfetti ve yine Aralık 2022’de, etki alanı denetleyicilerine kötü amaçlı arka kapılar dağıtmak için DLL birleştirme kullanılarak izinsiz giriş etkinliği keşfedildi.
Soruşturma sırasında Sophos araştırmacıları, Cluster Alpha, Cluster Bravo ve Cluster Charlie adında aynı organizasyonu hedef alan üç farklı faaliyet kümesi buldu. Bu kümeler, Worok, APT41 alt grubu Earth Longzhi, BackdoorDiplomacy, REF5961, TA428 ve Mayıs 2024’te askeri hedeflere karşı kapsamlı siber saldırılar gerçekleştirdiği bildirilen nispeten yeni bir tehdit grubu olan Unfading Sea Haze dahil olmak üzere çok sayıda Çin ulus devlet grubuyla örtüşüyor. Güney Çin Denizi’nde.
Cluster Alpha, kötü amaçlı yazılımları dışarıdan yüklemeye ve kalıcı C2 kanalları oluşturmaya odaklanırken Cluster Bravo, yatay olarak yayılmak için geçerli hesapları kullanmaya odaklandı. Cluster Charlie, erişim yönetimine öncelik verdi ve hassas bilgilerin casusluk amacıyla sızmasını hedefledi.
Bu kümeler, hassas siyasi, ekonomik ve askeri bilgileri toplamak için özel kötü amaçlı yazılımların ve kamuya açık araçların bir karışımını kullandı. Bunlar arasında CCoreDoor, PocoProxy, Cobalt Strike’ın güncellenmiş bir çeşidi, PowHeartBeat arka kapısı, EAGERBEE kötü amaçlı yazılımı, NUPAKAGE, Merlin C2 Agent, PhantomNet arka kapısı, RUDEBIRD kötü amaçlı yazılımı ve bir LSASS oturum açma kimlik bilgisi engelleyicisi yer alıyor.
“Sophos MDR, Güney Çin Denizi’ndeki stratejilerle ilgili askeri belgeler de dahil olmak üzere, istihbarat değeri olduğunu gösteren dosya adlarına sahip belgeleri toplamaya çalışan aktörleri gözlemledi.”
Sofo
Sophos, kampanyanın birincil amacının, kritik BT sistemlerine erişim, keşif yapma, hassas bilgileri toplama ve komuta ve kontrol iletişimleri için kötü amaçlı yazılım implantasyonları yerleştirme dahil olmak üzere Çin devletinin çıkarlarını korumak için siber casusluk erişimini sürdürmek olduğuna inanıyor.
Sophos’un blog gönderisine göre kampanya aynı zamanda çoğu Windows Hizmetlerini, yasal Microsoft ikili dosyalarını ve AV satıcı yazılımını kötüye kullanan 15’ten fazla farklı DLL yan yükleme senaryosunu da içeriyordu.
Dünya Çapında İşbirliği Yapan Tehdit Aktörleri
Bu, Çinli tehdit gruplarının, her birinin kendi çalışma saatleri ve planlama faaliyetleri olan ve merkezi bir otorite tarafından yönetilen bir kuruluşu hedeflemek için aktif olarak işbirliği yaptığı ilk örneği işaret ediyor.
Geçen ay Check Point’teki siber güvenlik araştırmacıları, İran devleti destekli birkaç hacker grubunun büyük ölçekli saldırılar için bir araya geldiğini bildirdi. Benzer şekilde Flashpoint’in geçen ayki bir raporunda Rus devleti destekli hacker gruplarının taktik değiştirdiği vurgulandı. Artık ortaklık kuruyorlar ve daha önce kullandıkları özel yapım araçlar yerine giderek daha fazla kötü amaçlı ücretli araçlara güveniyorlar.
İLGİLİ KONULAR
- Play Store Uygulamalarında Çin Bağlantılı Casus Yazılım Bulundu, 2 Milyon İndirme
- Çin’in Android zararlı yazılımlarıyla Uygurlara yönelik sinsi gözetimi
- Karışık Meerkat’ın Çin Güvenlik Duvarı Aracılığıyla Casusluk Yaptığından Şüpheleniliyor
- Çinli Blackwood APT, Siber Casuslukta NSPX30 Arka Kapısını Kullanıyor
- Güney Çin Denizi Krizi Ortasında Filipinler’de Siber Saldırılar %325 Arttı