Çinli Hackerlar Siber Saldırılar Başlatmak İçin Nmap Gibi Açık Kaynaklı Araçları Kullanıyor

Natto Thoughts’taki siber güvenlik araştırmacıları, Çinli bilgisayar korsanlarının siber saldırılar düzenlemek için Nmap gibi açık kaynaklı araçları aktif olarak kullandıklarını keşfetti.

Nmap (Network Mapper), Gordon Lyon tarafından yaratılmış ücretsiz ve açık kaynaklı bir ağ tarayıcısıdır. Bu ağ tarayıcı aracı, paketler göndererek ve yanıtları analiz ederek bir bilgisayar ağındaki ana bilgisayarları ve hizmetleri keşfetmek için kullanılır.

APT41, APT10 (diğer adlarıyla menuPass, Stone Panda, POTASSIUM), GALLIUM (diğer adlarıyla Granite Typhoon), Stately Taurus (diğer adlarıyla Mustang Panda), APT40 (diğer adlarıyla TA423, Red Ladon, BRONZE MOHAWK, Gingham Typhoon) gibi Çin devlet destekli tehdit grupları siber operasyonlarında her zaman keşif yönüne, tekniklere ve araçlara iyi planlanmış bir dikkat göstermektedir.

Nmap ve NBTscan gibi ağ tarama yardımcı programlarını, ayak izi oluşturmak ve savunmasız hedefleri tespit etmek için yoğun bir şekilde kullanırlar.

NBTscan, bir bilgisayar ağını taramak ve aramak için TCP/IP’yi kullanır, özellikle NetBIOS adı bilgileri için. Daha sonra ayrıca IP adresi, NetBIOS bilgisayar adı, geçerli oturum açma ve MAC adresi sağlar.

Teknik Analiz

APT40, kimlik avı kampanyalarında ScanBox keşif çerçevesini kullanarak, onu haber sitelerini taklit edecek şekilde özelleştiriyor.

Bu tehdit aktörleri telekomünikasyon, yönetilen BT servis sağlayıcıları, devlet kurumları ve kritik altyapılar dahil olmak üzere çeşitli sektörleri hedef alıyor.

Bazıları 2017’ye kadar uzanan güvenlik açıklarından yararlanıyorlar ve ağ keşfi, yatay hareket ve veri sızdırma için hazır ve yerel olarak geliştirilen araçların bir karışımını kullanıyorlar.

Bilinen operasyonlardan bazıları Operasyon Bulut Hopper (APT10), Operasyon Yumuşak Hücre (APT10) ve Five Eyes istihbarat ortaklığı tarafından sağlanan 2024 “APT40 Danışma”sı da dahil olmak üzere daha yeni APT40 faaliyetleridir.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial

⁤Bu grupların açık portları taramak, sistem bilgilerini belirlemek ve ağ topolojilerini haritalamak için değiştirilmiş NBTscan, Nmap ve özel kötü amaçlı yazılımlar gibi araçları kullandığı bilinmektedir.

⁤Bu tekniklerin son on yıldır ısrarla kullanılması, gelişmiş sosyal mühendislik taktikleriyle birleştiğinde, küresel varlıkları hedef alan uzun vadeli siber casusluk kampanyalarında ne kadar etkili olduklarını ortaya koyuyor.

Diplomatik Hayalet ve Dünya Krahang Harekatı, Çin bağlantılı APT gruplarının gelişen taktiklerini gösteren son siber casusluk kampanyalarından biridir.

Bu tehdit aktörleri, Orta Doğu, Afrika ve Asya’daki hükümet birimlerini hedef almak için yerleşik ve yeni keşif araçlarının bir karışımını kullanıyor.

Operation Diplomatic Specter’ın arkasındaki TGR-STA-0043 grubu, ağ keşfi için web taraması ve NBTscan’in yanı sıra LadonGo gibi araçlar kullanıyor.

Araştırmacılar ayrıca “Yasso” adı verilen yeni bir penetrasyon testi araç setini de benimsedi; bu araç, SQL enjeksiyon yetenekleri ve uzak kabuk işlevleriyle birlikte geliyor.

Earth Krahang’ın i-Soon adlı bir BT şirketiyle bağlantıları olması mümkün. Ayrıca, veritabanı güvenlik açıkları için SQLmap, şablon taraması için Nuclei ve ödünsüz penetrasyon testi için POCsuite gibi açık kaynaklı tarayıcıları kullanmak için bir altyapısı da var.

Bu gruplar daha güncel siyasi konuları hedef alır ve diplomatik, askeri ve siyasi liderlerden ve operasyonlardan gizli bilgiler elde etmeye çalışırlar.

Yasso’da veritabanı araçları ve diğer gelişmiş komutlar mevcut ve daha çok komuta odaklı operasyonları yönlendiriyor gibi görünüyor.

Simulating Cyberattack Scenarios With All-in-One Cybersecurity Platform - Watch Free Webinar