Saldırganların Çinli bilgisayar korsanlığı gruplarıyla ilişkili araçları kullanan uzun süredir devam eden casusluk kampanyası, en az 2021’den bu yana bir Asya ülkesindeki birden fazla telekom operatörünün ihlalini gerçekleştirdi ve faaliyetlerin 2020’ye kadar uzanabileceğini gösteren kanıtlar var.
Saldırganlar, hedeflenen şirketlerin ağlarına arka kapılar kurdu ve kimlik bilgilerini çalmaya çalıştı.
Symantec analizine göre hedeflenen kuruluşların neredeyse tamamı telekomünikasyon sektörü, telekomünikasyon sektöründeki bir hizmet şirketi ve başka bir Asya ülkesindeki bir üniversiteydi.
Saldırganlar Özel Kötü Amaçlı Yazılım Dağıttı
Coolclient, Fireant grubu (Mustang Panda) tarafından tuş vuruşlarını kaydetmek, dosyaları değiştirmek ve bir komut ve kontrol sunucusuyla iletişim kurmak için kullanılan bir arka kapıdır.
Quickheal, uzun süredir Neeedleminer grubuyla (aka RedFoxtrot) ilişkilendirilen bir arka kapı.
Kullanılan varyant, 2021’de belgelenenle neredeyse aynıydı ve sabit kodlu bir C&C sunucusuyla SSL trafiği olarak gizlenmiş özel bir protokol üzerinden iletişim kuruyordu.
Rainy Day, Firefly grubu (aka Naikon) tarafından kullanılan bir arka kapıdır. Çoğu varyant, harici bir dosyadaki yükün şifresini çözen bir yükleyici kullanılarak yürütüldü.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Saldırganlar, arka kapılara ek olarak kötü amaçlı tuş günlüğü kaydı, bağlantı noktası tarama araçları, kimlik bilgileri dökümü ve Responder LLMNR/NBT-NS/mDNS zehirleme aracını kullanarak güvenliği ihlal edilmiş sistemlerde RDP’yi etkinleştirdi.
Araçların birçok Çinli casusluk grubuyla güçlü bağlantıları var. Rapora göre Coolclient, Quickheal ve Rainyday’in her biri sırasıyla Fireant, Needleminer ve Firefly grupları tarafından özel olarak kullanılıyor.
Birçok güvenlik firması her üç grubun da Çin’den faaliyet gösterdiğini düşünüyor.
- Fireant grubu (diğer adıyla Mustang Panda) tarafından tuş vuruşlarını kaydetmek, dosyaları değiştirmek ve bir komut ve kontrol sunucusuyla iletişim kurmak için kullanılan bir arka kapı olan Coolclient.
- Quickheal, uzun süredir Neeedleminer grubuyla (aka RedFoxtrot) ilişkilendirilen bir arka kapı. Kullanılan varyant, 2021’de belgelenenle neredeyse aynıydı ve sabit kodlu bir C&C sunucusuyla SSL trafiği olarak gizlenmiş özel bir protokol üzerinden iletişim kuruyordu.
- Rainyday, Firefly grubu (diğer adıyla Naikon) tarafından kullanılan bir arka kapı. Çoğu varyant, harici bir dosyadaki yükün şifresini çözen bir yükleyici kullanılarak yürütüldü.
Kampanyanın bağımsız çalışan birden fazla aktörü mü, ortak araçları ve personeli kullanan tek bir aktörü mü, yoksa işbirlikçi bir çabayı mı kapsadığı belirsizliğini koruyor.
Saldırganlar, özel arka kapılara ek olarak, kötü amaçlı yazılım tuşlarını kaydetme, bağlantı noktası tarama araçları, kayıt defteri kovanlarının boşaltılması yoluyla kimlik bilgileri hırsızlığı ve Responder gibi kamuya açık araçların kullanımı gibi çeşitli başka taktikler, teknikler ve prosedürler (TTP’ler) kullandı.
Nihai amaç da belirsiz ancak telekomünikasyon sektörü hakkında istihbarat toplamayı, gizlice dinlemeyi veya ülkenin kritik altyapısına karşı yıkıcı bir yetenek oluşturmayı içerebilir.
Olay, telekomünikasyon gibi hassas sektörlere yönelik Çin devleti destekli bilgisayar korsanlığının ısrarlı tehdidini vurguluyor.
Kuruluşlara, uzlaşma işaretlerini izlemeyi artırmaları ve gelişmiş düşmanların gizli casusluk kampanyalarına karşı koruma sağlamak için sağlam savunmaların mevcut olduğundan emin olmaları tavsiye ediliyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free