Tayvan’daki kuruluşlar ve Çin merkezli bir ABD sivil toplum örgütü (STK), Pekin’e bağlı devlet destekli bir bilgisayar korsanlığı grubu tarafından hedef alındı. Hançer sineği yükseltilmiş bir kötü amaçlı yazılım araçları seti kullanarak.
Kampanya, grubun “iç casusluk da yaptığının” bir işareti, Broadcom’un bir parçası olan Symantec’in Tehdit Avcısı Ekibi, bugün yayınlanan yeni bir raporda söyledi. “Bu organizasyona yapılan saldırıda, saldırganlar MgBot kötü amaçlı yazılımlarını iletmek için bir Apache HTTP sunucusundaki bir güvenlik açığından yararlandı.”
Bronze Highland ve Evasive Panda adlarıyla da bilinen Daggerfly, daha önce Afrika’daki telekom servis sağlayıcılarını hedefleyen bir istihbarat toplama göreviyle bağlantılı olarak MgBot modüler kötü amaçlı yazılım çerçevesini kullanırken gözlemlenmişti. 2012’den beri faaliyette olduğu biliniyor.
Şirket, “Daggerfly, casusluk faaliyetlerini en az kesintiyle sürdürebilmek için araç setini hızla güncelleyerek, ifşaya yanıt verebilecek gibi görünüyor” dedi.
Son saldırılar, MgBot tabanlı yeni bir kötü amaçlı yazılım ailesinin yanı sıra, Google’ın Tehdit Analizi Grubu (TAG) tarafından ilk olarak Kasım 2021’de Safari tarayıcısındaki güvenlik açıklarından yararlanılarak Hong Kong’daki internet kullanıcılarını hedef alan sulama deliği saldırılarıyla dağıtıldığı ortaya çıkarılan MACMA adlı bilinen bir Apple macOS kötü amaçlı yazılımının geliştirilmiş versiyonunun kullanılmasıyla karakterize ediliyor.
Hassas bilgileri toplayabilen ve keyfi komutlar yürütebilen kötü amaçlı yazılım türünün, ilk kez belirli bir bilgisayar korsanı grubuyla açıkça ilişkilendirildiği gelişme yaşandı.
SentinelOne o dönemde yaptığı bir analizde, “macOS.MACMA’nın arkasındaki aktörler en azından ELF/Android geliştiricilerinin kodlarını yeniden kullanıyorlardı ve muhtemelen Android telefonları da kötü amaçlı yazılımlarla hedef alıyor olabilirlerdi” ifadelerini kullanmıştı.
MACMA’nın Daggerly ile bağlantıları, kötü amaçlı yazılım ile Mgbot arasındaki kaynak kod örtüşmelerinden ve bir komuta ve kontrol (C2) sunucusuna (103.243.212) bağlanmasından kaynaklanmaktadır.[.]98) aynı zamanda bir MgBot dropper tarafından da kullanılmıştır.
Cephaneliğindeki bir diğer yeni kötü amaçlı yazılım ise Nightdoor (diğer adıyla NetMM ve Suzafk), C2 için Google Drive API’sini kullanan ve en azından Eylül 2023’ten beri Tibetli kullanıcıları hedef alan watering hole saldırılarında kullanılan bir implant. Etkinliğin ayrıntıları ilk olarak bu Mart ayının başlarında ESET tarafından belgelenmişti.
Symantec, “Grup, araçlarının çoğu büyük işletim sistemi platformunu hedefleyen sürümlerini oluşturabilir” dedi ve “Android APK’larını, SMS müdahale araçlarını, DNS isteği müdahale araçlarını ve hatta Solaris OS’yi hedef alan kötü amaçlı yazılım ailelerini truva atı haline getirme yeteneğine dair kanıtlar gördük” diye ekledi.
Gelişme, Çin Ulusal Bilgisayar Virüsü Acil Durum Müdahale Merkezi’nin (CVERC), Beş Göz ülkeleri tarafından Çin bağlantılı bir casusluk grubu olarak nitelendirilen Volt Typhoon’un ABD istihbarat teşkilatlarının bir uydurması olduğunu iddia ederek, bunu bir yanlış bilgilendirme kampanyası olarak tanımlamasının ardından geldi.
“Asıl hedefleri ABD Kongresi ve Amerikan halkı olmasına rağmen, aynı zamanda[s] Çin’i karalamak, anlaşmazlık yaratmak [sic] CVERC yakın zamanda yayınladığı bir raporda, “Çin ile diğer ülkeler arasında askeri angajman kurmak, Çin’in gelişmesini engellemek ve Çinli şirketleri soymak” iddiasında bulundu.