Araştırmacılar, Çin devleti bağlantılı casuslukla bağlantılı çeşitli tehdit aktörü gruplarının, en az 2021’den bu yana adı açıklanmayan bir Asya ülkesindeki telekomünikasyon operatörlerini hedef alan sürekli bir bilgisayar korsanlığı kampanyası yürüttüğünü keşfetti.
Saldırganlar, Çin bağlantılı birkaç casusluk grubuna bağlı özel kötü amaçlı yazılımlara ve taktiklere güveniyordu; bu da Çin devletinin sponsorluğunu akla getiriyordu.
Çin Casusluk Kampanyasında Kullanılan Kötü Amaçlı Yazılım Türleri
Symantec araştırmacıları, Çin merkezli tehdit aktörleriyle bağlantılı çeşitli özel kötü amaçlı yazılımların kullanımını gözlemledi; bunlara şunlar dahildir:
- Harika müşteri: Fireant grubu tarafından kullanılan, tuş vuruşlarını kaydeden ve komut sunucularıyla iletişim kuran bir arka kapı. Kampanya, truva atı haline getirilmiş bir VLC medya oynatıcısı aracılığıyla sunulan bir sürümü kullandı. Mustang Panda veya Earth Preta olarak da bilinen Fireant grubuyla bağlantılıdır.
- Çabuk iyileşme: RedFoxtrot veya Nomad Panda olarak da bilinen Needleminer grubuyla ilişkili bir arka kapı. Kampanyada kullanılan varyant, 2021’de belgelenenlerle neredeyse aynıydı. Bir komut sunucusuyla hızlı ve hızlı bir şekilde iletişim kuruyordu.[.]açık.
- Yağmurlu gün: Naikon olarak da bilinen Firefly grubuna bağlı bir arka kapı. Kötü amaçlı yükleyicileri dışarıdan yüklemek ve yüklerin şifresini çözmek için truva atı haline getirilmiş yürütülebilir dosyalar kullanılarak birden fazla değişken dağıtıldı. En az bir yükleyici çeşidi, 2021’de Firefly’a bağlı olanlarla eşleşti.
Saldırganlar ayrıca hedefleri tehlikeye atmak için çeşitli taktikler, teknikler ve prosedürler (TTP’ler) kullandı. Bunlar arasında muhtemelen özel olarak geliştirilmiş keylogging kötü amaçlı yazılımları ve savunmasız sistemleri tespit etmeye yönelik bağlantı noktası tarama araçları yer alıyordu. Ayrıca kayıt defteri kovanlarının boşaltılması yoluyla kimlik bilgileri hırsızlığına da başvurdular ve Uzak Masaüstü Protokolünü (RDP) istismar ettiler.
Ek olarak, Bağlantı Yerel Çok Noktaya Yayın Ad Çözümlemesi (LLMNR), NetBIOS Ad Hizmeti (NBT-NS) ve çok noktaya yayın DNS (mDNS) zehirleyici olarak görev yapmak üzere halka açık bir araç olan Responder’ı kullandılar. Kampanyadaki kurbanların neredeyse tamamı telekom operatörlerinin yanı sıra telekom sektörüne hizmet veren bir hizmet şirketi ve Asya’nın farklı bir ülkesindeki bir üniversiteydi.
Araştırmacılar, kampanyanın 2020 yılına kadar dayanabileceğini öne sürdü.
Kampanya Amaçları ve İlişkilendirme
Fireant, Needleminer ve Firefly tarafından özel olarak kullanılan özel kötü amaçlı yazılım, bu kampanyanın Çin devleti destekli grupları kapsadığına dair güçlü kanıtlar sağlıyor. Firefly, ABD-Çin Komisyonu tarafından bir Çin askeri istihbarat birimine bağlandı. İlgili gruplar arasındaki koordinasyon düzeyi belirsizdir ancak olasılıklar arasında bağımsız eylem, personel/araç paylaşımı veya aktif işbirliği yer almaktadır.
Bilgisayar korsanlığı kampanyasının ardındaki nihai nedenler belirsizliğini koruyor. Potansiyel hedefler arasında telekomünikasyon sektörü hakkında istihbarat toplamak, ses ve veri iletişimlerini gizlice dinlemek veya kritik altyapılara karşı yıkıcı yetenekler geliştirmek yer alıyor.
Bu tehditlere karşı korunmak için telekom operatörleri ve diğer kuruluşlar en son koruma güncellemelerine sahip olduklarından emin olmalı ve kötü amaçlı dosyaları tespit edip engellemek için güçlü güvenlik önlemleri uygulamalıdır. Araştırmacılar, savunucuların kampanyaya karşı tespit yapmasına yardımcı olmak için çeşitli uzlaşma göstergeleri ve dosya karmaları paylaştı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.