Afganistan ve Avrupa’daki bir düzineden fazla askeri-sanayi kompleksi işletmesi ve kamu kurumu, Ocak 2022’den bu yana altı farklı arka kapıyı aynı anda kullanarak gizli verileri çalmak için bir hedefli saldırı dalgasına maruz kaldı.
Rus siber güvenlik firması Kaspersky, saldırıları “yüksek derecede güvenle” Proofpoint tarafından TA428 olarak izlenen Çin bağlantılı bir tehdit aktörüne bağladı ve taktik, teknik ve prosedürlerdeki (TTP’ler) çakışmalara atıfta bulundu.
Bronze Dudley, Temp.Hex ve Vicious Panda isimleri altında da izlenen TA428, Ukrayna, Rusya, Beyaz Rusya ve Moğolistan’da çarpıcı varlıklar geçmişine sahiptir. Mustang Panda (diğer adıyla Bronz Başkan) adlı başka bir bilgisayar korsanlığı grubuyla bağlantı paylaştığına inanılıyor.
En son siber casusluk kampanyasının hedefleri arasında çeşitli Doğu Avrupa ülkeleri ve Afganistan’daki endüstriyel tesisler, tasarım büroları ve araştırma enstitüleri, devlet kurumları, bakanlıklar ve departmanlar yer aldı.
Saldırı zincirleri, alıcıları sahte Microsoft Word belgelerini açmaları için kandırmak için, bazıları kuruluşlarla ilgili kamuya açık olmayan bilgilere atıfta bulunanlar da dahil olmak üzere, özenle hazırlanmış kimlik avı e-postalarını kullanarak kurumsal BT ağlarına sızmayı gerektirir.
Bu tuzak dosyalar, Denklem Düzenleyici bileşeninde (CVE-2017-11882), etkilenen sistemlerde rastgele kod yürütülmesine yol açabilecek ve sonuçta PortDoor adlı bir arka kapının konuşlandırılmasına yol açabilecek 2017 bellek bozulması kusuruna yönelik istismarlarla birlikte gelir.
PortDoor, özellikle Nisan 2021’de Çin devlet destekli bilgisayar korsanları tarafından Rus Donanması için denizaltılar tasarlayan bir savunma müteahhitinin sistemlerine girmek için düzenlenen mızraklı kimlik avı saldırılarında kullanıldı.
Altı farklı implantın kullanılması, muhtemelen, tehdit aktörlerinin, virüslü konakçılardan birinin tespit edilip ağlardan kaldırılması durumunda kontrol etmek için gereksiz kanallar oluşturma girişimidir.
İzinsiz girişler, saldırganın etki alanı denetleyicisini ele geçirmesi ve kuruluşun tüm iş istasyonları ve sunucularının tam kontrolünü ele geçirmesi ve Çin’de bulunan uzak bir sunucuya sıkıştırılmış ZIP arşivleri biçimindeki ilgi dosyalarına ayrıcalıklı erişimden yararlanması ile sonuçlanır.
Saldırılarda kullanılan diğer arka kapılar, nccTrojan, Cotx, DNSep, Logtu ve CotSam olarak adlandırılan ve Cotx ile benzerliklerinden dolayı adlandırılan daha önce belgelenmemiş bir kötü amaçlı yazılımdır. Her biri, sistemlere hakim olmak ve hassas verileri toplamak için kapsamlı işlevsellik sağlar.
Saldırılara ayrıca, düşmanın ağdaki cihazları taramasını ve kötü amaçlı kod yürütmek için güvenlik açıklarından yararlanmasını sağlayan yanal hareket için bir bilgisayar korsanlığı çerçevesi olan Ladon da dahildir.
Kaspersky, “Mızraklı kimlik avı, endüstriyel işletmeler ve kamu kurumları için en önemli tehditlerden biri olmaya devam ediyor” dedi. “Saldırganlar, öncelikle bilinen arka kapı kötü amaçlı yazılımlarının yanı sıra yanal hareket ve antivirüs çözümü kaçırmak için standart teknikler kullandılar.”
“Aynı zamanda onlarca işletmeye sızmayı ve hatta tüm BT altyapısının kontrolünü ele geçirmeyi başardılar ve bazı kuruluşların BT güvenlik çözümleri saldırıya uğradı.”
Bulgular, Twisted Panda aktörlerinin Rusya ve Beyaz Rusya’daki araştırma enstitülerini Spinner adlı çıplak bir arka kapıyı kapatmak için hedef aldıklarının gözlemlenmesinden iki aydan biraz daha uzun bir süre sonra geldi.