Çin bağlantılı tehdit aktörleri, uluslararası politikanın şekillendirilmesinde yer alan kuruluşları hedef alarak Amerikan hükümetinin karar alma süreçlerini etkilemeye odaklandılar.
Nisan 2025’te, ABD’de kar amacı gütmeyen bir kuruluşa yapılan karmaşık bir izinsiz giriş, bu saldırganların uzun vadeli ağ erişimi sağlama ve politika konularıyla ilgili istihbarat toplama yönündeki ısrarlı çabalarını ortaya çıkardı.
Tehdit aktörleri, birkaç hafta boyunca tehlikeye atılan altyapı üzerinde kontrolü sürdürmek için birden fazla kaçınma tekniği kullanarak ve çeşitli güvenlik açıklarından yararlanarak önemli bir teknik gelişmişlik sergiledi.
Saldırı kampanyası, politikayı etkileyen kurumları hedef alan Çin devleti destekli casusluğun daha geniş bir modelini yansıtıyor.
İlk keşif, 5 Nisan 2025’te, saldırganların kurumsal sunuculara karşı toplu güvenlik açığı taramaları gerçekleştirmesi ve CVE-2022-26134 (Atlassian OGNL Injection), CVE-2021-44228 (Log4j), CVE-2017-9805 (Apache Struts) ve CVE-2017-17562 dahil olmak üzere açıklardan yararlanma girişiminde bulunmasıyla başladı. (Devam Edin RCE).
Bu tarama faaliyetleri, daha sonraki yararlanma girişimleri ve ağ uzlaşmasının temelini oluşturdu.
Symantec güvenlik analistleri, bu kampanyayı Space Pirates, Kelp (Salt Typhoon) ve uzun süredir devam eden APT41 kolektifinin tanınmış bir alt grubu olan Earth Longzhi dahil olmak üzere yerleşik Çin tehdit gruplarına bağlayan çok sayıda taktiksel gösterge tespit etti.
Adli deliller, çeşitli farklı saldırı metodolojileri yoluyla doğrudan Çin merkezli atıflara işaret etti.
Birincil Kalıcılık Mekanizması Olarak DLL Yan Yüklemesi
Saldırganlar, kötü amaçlı yük sbamres.dll’yi yürütmek için vetysafe.exe adlı meşru bir VipreAV bileşeninden yararlanarak birincil kalıcılık mekanizması olarak DLL yan yüklemesini kullandı.
Bu teknik, meşru uygulamaların otomatik olarak yükleyip çalıştırdığı kötü amaçlı kodlar yerleştirerek Windows’un dinamik kitaplık arama düzeninden yararlanır.
Saldırganlar, enjekte edilen kodu içeren bilinmeyen bir XML yapılandırma dosyasını yüklemek için msbuild.exe dosyasını çalıştırarak SYSTEM ayrıcalıklarıyla her 60 dakikada bir çalışan zamanlanmış bir görev oluşturdu.
Bu kod daha sonra hxxp://38.180.83 adresindeki bir komuta ve kontrol sunucusuyla iletişim kurdu.[.]166/6CDF0FC26CDF0FC2.
Sofistike yaklaşım, saldırganların geleneksel güvenlik algılama mekanizmalarından kaçarken kalıcı erişimi sürdürmelerine olanak tanıdı ve ABD politika kurumlarını hedefleme konusunda gelişen yetenekleri ortaya koydu.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
