Bilgisayar korsanları, kritik altyapının işleyişine müdahaleyi içeren casusluk başta olmak üzere çeşitli nedenlerle askeri ve hükümet ağlarını hedef alıyor.
Bunun temel nedeni, bu ağların, tahrif edilmesi halinde istihbarat bilgilerinin toplanması yoluyla ulusal güvenliğe büyük bir darbe indirebilecek ve hatta savaş zamanlarında üstünlük kazanabilecek hassas veri ve komuta sistemleri içermesidir.
Bitdefender Labs yakın zamanda Güney Çin Denizi ülkelerindeki üst düzey kuruluşlara yönelik bir siber saldırı zincirini analiz ederek, muhtemelen Çin’in emriyle hareket eden, önceden bilinmeyen bir tehdit aktörünü ortaya çıkardı.
Bu soruşturma birkaç yıl sürdü ve 2018’de Gh0st RAT yinelemeleri ve .NET yükleri gibi siber casusluk müzesine benzetilebilecek farklı yöntem ve araçlar kullanan en az sekiz askeri ve hükümet kurbanını içeriyordu.
ANYRUN malware sandbox’s 8th Birthday Special Offer: Grab 6 Months of Free Service
Teknik Analiz
En rahatsız edici durum, saldırganların zayıf şifreler yoluyla veya şifreleri güncellemeyerek defalarca sistemlere girmeleridir.
Bu arada, çok sayıda eseri karşılaştırdıktan sonra bile, bunların bilinen herhangi bir devlet aktörü tarafından yapıldığını varsayarsak, beş yıldan fazla süren faaliyetlerini belirlemek imkansızdı.
Bu, “Solmayan Deniz Buğusu” için karmaşık bir atıftı. Araştırmacılar yaptıkları araştırmada bilinen aktörlerle bir eşleşme bulamadıkları için bu grubu yeni olarak etiketlediler.
Güney Çin Denizi hedeflerine vurgu yapmaları ve Gh0st RAT varyantlarının kullanılması, Çin bağlantılarının araştırılmasını önermektedir.
SharpJSHandler’ı içeren, bazı ortak noktaları olan ancak başka hiçbir benzerliği olmayan bir APT41 tekniği, Çin siber ekosisteminde ortak uygulamalara işaret ediyordu.
Bu ipuçları Çin ile bağları olabilecek gelişmiş bir tehdit aktörünü gösteriyor. Sonuç olarak daha fazla araştırmaya ihtiyaç vardır.
Ancak Unfading Sea Haze, LNK dosyalarının belge gibi göründüğü kötü amaçlı ZIP arşivlerini içeren hedef odaklı kimlik avı e-postaları yoluyla yeniden erişim sağlamayı başardı.
İkincisi, ESET işlemlerini çalıştırırken, kontrol ederken ve atlarken uzun kaçınma yorumları aldı. Bu bir SerialPktdoor arka kapı yüküydü.
Daha yeni olanlar ise Microsoft Defender kurulumunu kopyaladı veya MSBuild tarafından tetiklenen dosyasız saldırılar için LNK dosyalarını yerleştiren siyasi temalara güvenerek kurbanların bilgisayarlarında hiçbir iz bırakmadan kodun tamamen bellekteki uzak SMB sunucularından çalıştırılmasını mümkün kıldı.
Bu, MSBuild gibi meşru araçların gizli kalması için akıllıca kullanılmasıyla mümkün oldu.
Kalıcılık, saldırganların tercih ettiği, yürütülebilir dosyalardan adlar kullanan zamanlanmış görevlerin seçilmesi meselesiydi.
FluffyGh0st gibi modüler formlara geçmeden ve MSBuild.exe ve uzak paylaşımlar aracılığıyla dosyasız tekniklerden yararlanmadan önce birkaç yıl boyunca SilentGh0st ve InsidiousGh0st gibi Gh0st RAT sürümleriyle başladılar.
.webp)
Bunlar arasında Chrome, Firefox, Edge, USB, WPD izleme ve keylogger’ları hedefleyen tarayıcı veri hırsızları da vardı.
Mesajlaşma uygulamaları, son dosyalarda manuel veri toplamaya yönelik sıkıştırma araçlarıyla hedeflendi.
Bu, TLS üzerinde kıvrılma şeklinde özelleştirilmiş DustyExfilTool’un kullanılmasından, operasyonel güvenlik duruşlarını geliştireceği varsayılan sık kullanılan kimlik bilgilerinin değiştirilmesi yoluyla FTP’ye geçişle kanıtlanmıştır.
Bütün bunlar, bu casusların bilgi toplama faaliyetlerinde bulunmak istediklerini gösteriyor.
Öneriler
Aşağıda tüm önerilerden bahsettik: –
- Güvenlik Açığı Yönetimi
- Güçlü Kimlik Doğrulama
- Doğru Ağ Segmentasyonu
- Çok Katmanlı Savunma
- Ağ Trafiği İzleme
- Etkili Günlük Kaydı
- Tespit ve Yanıt
- İşbirliği ve Bilgi Paylaşımı
- Gelişmiş Tehdit İstihbaratı
Free Webinar on Live API Attack Simulation: Book Your Seat | Start protecting your APIs from hackers