Sophos Yönetilen Tespit ve Müdahale (MDR), Çin devleti destekli aktörlere atfedilen “Kızıl Saray” adlı karmaşık, uzun süredir devam eden bir siber casusluk kampanyasını ortaya çıkardı.
Operasyon, faaliyetleri 2022 başından Nisan 2024’e kadar uzanan Güneydoğu Asya’daki yüksek profilli bir hükümet kuruluşunu hedef aldı.
Keşif ve Soruşturma
Soruşturma, bir VMware bileşeni olan VMNat.exe’den yararlanan bir DLL yandan yükleme tekniğinin tespit edilmesinin ardından Mayıs 2023’te başladı.
Sophos MDR’den Mark Parsons, üç farklı izinsiz giriş faaliyeti kümesini ortaya çıkaran tehdit avına öncülük etti: Cluster Alpha (STAC1248), Cluster Bravo (STAC1807) ve Cluster Charlie (STAC1305).
Yeni Kötü Amaçlı Yazılım Çeşitleri
Sophos, CCoreDoor, PocoProxy ve EAGERBEE’nin güncellenmiş bir sürümü de dahil olmak üzere daha önce bildirilmemiş birkaç kötü amaçlı yazılım çeşidini tespit etti.
With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis
Bu varyantlar, anti-virüs sağlayıcı etki alanlarına iletişimleri kara delik haline getirme ve çeşitli komuta ve kontrol (C2) iletişimlerini dağıtma gibi gelişmiş yetenekler sergiledi.
Kampanya, Windows Hizmetlerini, yasal Microsoft ikili dosyalarını ve anti-virüs yazılımlarını kötüye kullanan 15’ten fazla DLL yükleme senaryosunu içeriyordu.
Bu teknik, saldırganların tespitten kaçmasına ve hedef ağa kalıcı erişim sağlamasına olanak sağladı.
Tehdit aktörleri, Sophos AV aracı sürecini çekirdekten ayırmak için bellekteki DLL’lerin üzerine yazmak ve yüklerini yürütmenin en etkili yollarını test etmek için çeşitli yöntemler kullanmak da dahil olmak üzere çok sayıda kaçınma tekniği kullandı.
Faaliyet Kümelerinin Analizi
Küme Alfa (STAC1248)
Mart-Ağustos 2023 arasında aktif olan Cluster Alpha, birden fazla kötü amaçlı yazılım çeşidini dağıtmaya ve kalıcı C2 kanalları oluşturmaya odaklandı.
Aktörler, AV korumalarını devre dışı bırakmak, ayrıcalıkları yükseltmek ve Active Directory altyapısı üzerinde gözetim yürütmek için benzersiz teknikler kullandı.
Küme Bravo (STAC1807)
Cluster Bravo’nun faaliyeti, Çin’in 14. Ulusal Halk Kongresi’nin ilk oturumuna denk gelecek şekilde Mart 2023’te üç hafta boyunca yoğunlaştı.
Aktörler, C2 iletişimleri kurmak ve hedef sunucularda kalıcılığı sürdürmek için CCoreDoor arka kapısını konuşlandırarak yatay olarak yayılmak için geçerli hesaplar kullandı.
Küme Charlie (STAC1305)
Cluster Charlie, Mart 2023’ten Nisan 2024’e kadar aktifti; erişim yönetimine öncelik verdi ve kalıcı C2 iletişimleri için PocoProxy kötü amaçlı yazılımını dağıttı.
Aktörler kapsamlı bir gözetim gerçekleştirdi ve askeri ve siyasi belgeler de dahil olmak üzere hassas bilgileri sızdırdı.
İlişkilendirme ve Küme Örtüşmesi
Sophos, gözlemlenen faaliyet kümelerinin Çin devleti destekli operasyonlarla ilişkili olduğunu kendinden emin bir şekilde ileri sürüyor.
Kümeler farklı davranış kalıpları sergilediler, ancak tehlikeye atılmış altyapı ve hedeflerde örtüşmeler gösterdiler, bu da bir miktar koordinasyon olduğunu gösteriyor.
Sophos MDR, hedeflenen ortamı izlemeye devam ederek, aralarında Elastic Security ve Trend Micro’nun da bulunduğu hükümet ve sektör ortaklarıyla bilgi paylaşımında bulunuyor.
Soruşturma, siber tehditlerin belirlenmesinde ve azaltılmasında proaktif tehdit avcılığının ve verimli bir istihbarat döngüsünün önemini vurguluyor.
“Kızıl Saray” kampanyası, devlet destekli siber casusluğun oluşturduğu kalıcı tehdidin altını çiziyor.
Sophos’un bulguları, Çin siber operasyonlarının daha geniş bir şekilde anlaşılmasına katkıda bulunuyor ve benzer faaliyetleri sekteye uğratmak için çalışan savunucular ve analistler için değerli bilgiler sağlıyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo