ÖZET
- Ağ Erişimi: Çinli bilgisayar korsanları büyük bir ABD şirketinin ağına en az dört ay boyunca erişim sağladılar ve muhtemelen e-postalar da dahil olmak üzere hassas bilgileri çaldılar.
- Kullanılan Teknikler: Bilgisayar korsanları, ağ içinde hareket etmek için DLL yan yüklemesini kullandı, Google ve Apple yazılımlarından yararlandı ve Impacket ve FileZilla gibi araçları kullandı.
- Hedeflenen Veriler: Saldırganların Exchange Sunucularına ve e-posta verilerine odaklanmış olması, stratejik bir istihbarat toplama operasyonuna işaret ediyor.
- Daggerfly’a atıf: Symantec, saldırıyı, gelişmiş siber casusluklarıyla tanınan Çin devleti destekli Daggerfly ve Crimson Palace grupları ile ilişkilendirdi.
- Uzman Görüşü: Siber güvenlik uzmanı Stephen Kowski, uzun vadeli ağ ihlallerinin karmaşıklığını ve tehlikelerini vurguluyor ve daha güçlü e-posta güvenliği ve izleme ihtiyacını vurguluyor.
Siber güvenlik firması Symantec’e göre, Çin’de faaliyet gösteren büyük bir ABD şirketi bu yılın başlarında büyük ölçekli bir siber saldırının kurbanı oldu. Saldırının işi olduğuna inanılıyor Çinli hackerlarsaldırganların en az dört ay boyunca şirketin ağına erişimini sürdürmesine ve muhtemelen hassas bilgiler toplamasına izin verdi.
Bu aşağıdaki gibidir Ekim 2024’ün raporu Çin’in Salt Typhoon hack grubunun AT&T, Verizon ve Lumen’i hedef alıp başarılı bir şekilde tehlikeye atarak suç soruşturmalarında kullanılan telefon dinleme sistemlerini tehlikeye attığı ortaya çıktı.
Symantec’in bulguları, bilgisayar korsanlarının 11 Nisan 2024’ten Ağustos ayına kadar aktif olduğunu gösteriyor ancak ilk ihlal daha da erken gerçekleşmiş olabilir. Bu süre zarfında bilgisayar korsanları şirketin ağında dolaşarak birden fazla bilgisayara erişim sağladılar. Değişim Sunucuları.
Bu, istihbarat toplama amacıyla e-posta verilerini çalmanın birincil amacını akla getiriyor. Symantec’in raporuna göre blog yazısıBilgisayar korsanları, saldırılarını gerçekleştirmek için meşru uygulamalardan ve açık kaynaklı araçlardan oluşan bir karışım kullandı.
Kötü amaçlı kodların meşru uygulamalarla yüklendiği bir teknik olan DLL-sideloading’den, Google ve Apple yazılımlarının kötüye kullanılmasına kadar bu amaçla gerçekleştirildi. Ayrıca tehdit aktörlerinin kullandığı Darbeağ protokolü manipülasyonu için Python tabanlı bir araç seti ve diğerleri arasında bir FTP istemcisi olan FileZilla.
Çin APT Gruplarına bağlantılar
Kuruluşun adı hala bilinmese de Symantec, saldırının arkasındaki grubun Çin devleti destekli grupla yakından bağlantılı olduğuna inanıyor. Hançer sineği (Daggerfly (BRONZE HIGHLAND StormCloud ve Evasive Panda olarak da bilinir) ve Crimson Palace.
Bu iddia, grubun geçmişteki saldırılarda DLL’yi dışarıdan yüklemeyi tekrar tekrar kullanmasına dayanmaktadır. Daggerfly bu tekniği kullanmasıyla ünlüdür. Üstelik ele geçirilen bir sistemde bulunan kötü amaçlı dosyalardan biri textinputhost.dataynı zamanda başka bir Çinli grup olan Crimson Palace ile de ilişkilendirilmiştir. Bu grup yakın zamanda haber yapıldı Güney Asya hükümetlerini hedef aldığı ve hassas askeri sırları çaldığı için.
Stephen KowskiSlashNext’ten bir siber güvenlik uzmanı şunları söyledi: hackread.com Bu saldırı endişe verici bir eğilimin parçası. Bilgisayar korsanlarının şirket ağlarına uzun vadeli erişim sağlamak için giderek daha karmaşık yöntemler kullandığını söyledi.
Kowski, “Exchange sunucularına ve e-posta toplamaya odaklanmak, stratejik bir istihbarat toplama operasyonuna işaret ediyor” diye ekledi. Bu tür saldırıları tespit etmek için güçlü e-posta güvenliğine ve sürekli izlemeye ihtiyaç duyulduğunu vurguladı.
İLGİLİ KONULAR
- GLASSBRIDGE: Google, Çin Yanlısı Sahte Haber Sitelerini Engelliyor
- Çin’in Android zararlı yazılımlarıyla Uygurlara yönelik sinsi gözetimi
- Karışık Meerkat’ın Çin Güvenlik Duvarı Aracılığıyla Casusluk Yaptığından Şüpheleniliyor
- Çinli Blackwood APT, Siber Casuslukta NSPX30 Arka Kapısını Kullanıyor
- Güney Çin Denizi Krizi Ortasında Filipinler’de Siber Saldırılar %325 Arttı