Çinli Hackerlar Güneydoğu Asya Siber Saldırılarında Visual Studio Code’u Kullandı


09 Eyl 2024Ravie LakshmananSiber Casusluk / Kötü Amaçlı Yazılım

Güneydoğu Asya Siber Saldırıları

Çin bağlantılı ileri kalıcı tehdit (APT) grubu olarak bilinir Mustang Panda Güneydoğu Asya’daki hükümet birimlerini hedef alan casusluk operasyonlarının bir parçası olarak Visual Studio Code yazılımını silah olarak kullandığı gözlemlendi.

Palo Alto Networks Unit 42 araştırmacısı Tom Fakterman bir raporda, “Bu tehdit aktörü, hedef ağlarda yer edinmek için Visual Studio Code’un gömülü ters kabuk özelliğini kullandı” dedi ve bunu ilk olarak Eylül 2023’te Truvis Thornton tarafından gösterilen “nispeten yeni bir teknik” olarak tanımladı.

Saldırının, Eylül 2023 sonlarında ismi açıklanmayan bir Güneydoğu Asya hükümet kuruluşuna yönelik daha önce belgelenen saldırı faaliyetinin devamı olduğu değerlendiriliyor.

Siber Güvenlik

BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta ve Red Lich isimleriyle de bilinen Mustang Panda, 2012’den beri faaliyette olup, özellikle Güney Çin Denizi ülkelerinde bulunanlar olmak üzere Avrupa ve Asya’daki hükümet ve dini kuruluşları hedef alan siber casusluk kampanyaları düzenliyor.

Gözlemlenen son saldırı dizisi, Visual Studio Code’un ters kabuğunun keyfi kod çalıştırmak ve ek yükler sunmak için kötüye kullanılmasıyla dikkat çekiyor.

“Visual Studio Code’u kötü amaçlı amaçlarla kötüye kullanmak için, bir saldırgan code.exe’nin taşınabilir sürümünü (Visual Studio Code için yürütülebilir dosya) veya yazılımın önceden yüklenmiş bir sürümünü kullanabilir,” diye belirtti Fakterman. “Komut code.exe tüneli çalıştırıldığında, bir saldırgan kendi hesabıyla GitHub’a giriş yapmasını gerektiren bir bağlantı alır.”

Görsel Stüdyo Kodu

Bu adım tamamlandıktan sonra saldırgan, virüslü makineye bağlı bir Visual Studio Code web ortamına yönlendirilir ve bu sayede komutlar çalıştırabilir veya yeni dosyalar oluşturabilir.

Bu tekniğin kötü amaçlı kullanımının daha önce Hollandalı siber güvenlik firması mnemonic tarafından Check Point’in Ağ Güvenliği ağ geçidi ürünlerindeki bir güvenlik açığının (CVE-2024-24919, CVSS puanı: 8,6) sıfırıncı gün istismarı ile bağlantılı olarak vurgulandığını belirtmekte fayda var.

Unit 42, Mustang Panda saldırganının kötü amaçlı yazılım dağıtmak, keşif yapmak ve hassas verileri sızdırmak için mekanizmayı kullandığını söyledi. Ayrıca saldırganın komutları yürütmek, dosyaları aktarmak ve ağda yayılmak için OpenSSH kullandığı söyleniyor.

Siber Güvenlik

Hepsi bu kadar değil. Enfekte ortamın daha yakından incelenmesi, “eş zamanlı ve hatta bazen aynı uç noktalarda gerçekleşen” ve Çin casusluk grupları tarafından yaygın olarak paylaşılan modüler bir arka kapı olan ShadowPad kötü amaçlı yazılımını kullanan ikinci bir etkinlik kümesini ortaya çıkardı.

Bu iki saldırı setinin birbirleriyle ilişkili olup olmadığı veya iki farklı grubun “birbirlerinin erişimini kullanıp kullanmadığı” henüz netlik kazanmadı.

“Adli kanıtlara ve zaman çizelgesine dayanarak, bu iki kümenin aynı tehdit aktöründen (Stately Taurus) kaynaklandığı sonucuna varılabilir,” dedi Fakterman. “Ancak, bu bağlantıyı açıklayabilecek başka olası açıklamalar da olabilir, örneğin iki Çinli APT tehdit aktörü arasındaki iş birliği gibi.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin Twitter ve daha özel içeriklerimizi okumak için LinkedIn’i ziyaret edin.





Source link