Çin devlet destekli üç tehdit grubu olan APT10, GALLIUM ve Stately Taurus, son on yıldır açık kaynaklı ağ tarama aracı NBTscan’in değiştirilmiş bir sürümünü defalarca kullandı.
Ağ keşfi ve adli bilişim için tasarlanan NBTscan, belirli bir aralıktaki IP adreslerine NetBIOS durum sorguları gönderir.
Yanıtları analiz ederek IP adresleri, bilgisayar adları, oturum açmış kullanıcı adları ve MAC adresleri gibi değerli bilgileri çıkarır, çünkü bu tehdit grupları hedef ağlar hakkında istihbarat toplamak ve sistemleri tehlikeye atmak için NBTscan’in yeteneklerinden yararlanır.
Çinli tehdit grubu APT10’un, birden fazla hedefe karşı keşif yapmak için değiştirilmiş bir NBTscan aracı kullandığı tespit edildi.
Uyumluluğun Kodunu Çözme: CISO’ların Bilmesi Gerekenler – Ücretsiz Web Seminerine Katılın
Cloud Hopper Operasyonu’nda yönetilen BT servis sağlayıcılarını hedef aldılar, güvenlik açığı bulunan uç noktaları aradılar ve sistem bilgilerini topladılar.
Benzer şekilde, Soft Cell Operasyonunda, APT10’un ağ altyapısını haritalamasına ve daha fazla saldırı için potansiyel giriş noktalarını belirlemesine olanak tanıyan NBTscan’i kullanarak dünya çapındaki telekomünikasyon sağlayıcılarına odaklandılar.
Microsoft, 2019 yılında küresel telekomünikasyon sağlayıcılarına yönelik saldırıların failinin, hedeflenen ağlarda keşif ve yatay hareketler gerçekleştirmek için öncelikle ticari veya değiştirilmiş güvenlik yazılımları olmak üzere çeşitli araçlar kullanan Çin devletine bağlı bir tehdit grubu olan GALLIUM olduğunu tespit etti.
Bu araçlar arasında, NBTscan, hem yerel hem de uzak TCP/IP ağlarındaki açık NetBIOS ad sunucularını tespit etmek ve grubun keşif çalışmalarını kolaylaştırmak için kullanıldı.
Çinli siber casusluk tehdit aktörü Stately Taurus, diğer adıyla Mustang Panda’nın, enfekte olmuş ortamlarda canlı ana bilgisayarlar, açık portlar ve etki alanı bilgilerini taramak için NBTscan aracını kullandığı tespit edildi.
Bu aracın Earth Lusca ve TGR-STA-0043 gibi diğer Çinli tehdit grupları tarafından da kullanıldığı bildirildi.
Son on yıldır Çinli tehdit aktörleri NBTscan’ı veya onun değiştirilmiş versiyonlarını defalarca kullandılar ve bu da onun aralarındaki popülerliğini gösteriyor.
Çin devlet destekli bir bilgisayar korsanlığı grubu olan APT40, birkaç yıldır, güvenliği ihlal edilmiş web sitelerine gelen ziyaretçiler hakkında sistem ayrıntıları, konum ve tuş vuruşları dahil olmak üzere bilgi toplayan JavaScript tabanlı bir çerçeve olan ScanBox keşif aracını kullanıyor.
Şirketin, ScanBox betiğini kampanyaları için özelleştirerek Avustralya hükümet kurumlarına, haber medya şirketlerine ve rüzgar türbini üreticilerine karşı hedefli kimlik avı kampanyalarında ScanBox’ı kullandığı ve seçim temalı yemlerle birlikte kullandığı gözlemlendi.
Diplomatik Hayalet Operasyonu’ndan sorumlu olan Çin devlet destekli APT grubu TGR-STA-0043, yeni geliştirilen Yasso penetrasyon testi araç setini kullanarak taktiklerini değiştirdi.
Çinli tehdit aktörleri tarafından sıklıkla kullanılan eski araçların aksine Yasso, SQL penetrasyon işlevleri ve veritabanı yetenekleri gibi gelişmiş özellikler sunuyor; bu da daha gelişmiş ve iyi kaynaklara sahip bir tehdit aktörünü, potansiyel olarak kiralık bir bilgisayar korsanından ziyade devlet destekli bir grubu akla getiriyor.
TGR-STA-0043, Ortadoğu, Afrika ve Asya’daki hükümet birimlerini hedef alarak diplomasi, ekonomi, askeri operasyonlar ve siyasi işlerle ilgili hassas bilgileri elde etmeyi amaçlıyor.
Çin bağlantılı tehdit aktörü Earth Krahang, saldırılar için savunmasız hedefleri belirlemek amacıyla çoğunlukla Çince konuşan geliştiriciler tarafından geliştirilen sqlmap, nucleus, xray, pocsuite ve wordpressscan gibi açık kaynaklı tarama araçlarını yoğun bir şekilde kullanıyor.
Natto Ekibi, birçoğu Çin tarafından geliştirilen yüzlerce açık kaynaklı tarama aracı içeren “Scanners Box” adlı bir depo keşfetti. Bu, Çinli geliştiriciler arasında tarama araçları oluşturmaya yönelik önemli bir ilgi olduğunu ve bu tür araçların güvenlik alanındaki popülerliğini ve önemini yansıtıyor.
Güvenlik Ekibiniz için Ücretsiz Olay Müdahale Planı Şablonunu İndirin – Ücretsiz İndir