Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı


Çinli Hackerlar

Çinli bir ulus devlet grubu tarafından yürütülen aylarca süren bir siber casusluk kampanyası, kurbanları hakkında bilgi toplamak ve stratejik hedeflerine ulaşmak için keşif kötü amaçlı yazılımlarıyla birkaç kuruluşu hedef aldı.

Kurumsal güvenlik şirketi Proofpoint, PwC ile ortaklaşa yayınlanan bir yayında, “Bu son kampanyanın hedefleri Avustralya, Malezya ve Avrupa’nın yanı sıra Güney Çin Denizi’nde faaliyet gösteren kuruluşları kapsıyordu.” Dedi.

Hedefler, Güney Çin Denizi’ndeki rüzgar türbini filolarının bakımını yürüten yerel ve federal Avustralya Devlet kurumları, Avustralya haber medyası şirketleri ve küresel ağır sanayi üreticilerini kapsamaktadır.

Proofpoint ve PwC, izinsiz girişleri, iki şirket tarafından sırasıyla TA423 ve Red Ladon isimleriyle takip edilen ve aynı zamanda APT40 ve Leviathan olarak da bilinen bir tehdit aktörüne bağladı.

APT40, 2013’ten beri aktif olduğu bilinen ve öncelikli olarak Güney Çin Denizi’ne odaklanan Asya-Pasifik bölgesinde çarpıcı oluşumlara sahip Çin merkezli, casusluk güdümlü bir tehdit aktörüne verilen addır. Temmuz 2021’de ABD hükümeti ve müttefikleri, muhalif kolektifi Çin Devlet Güvenlik Bakanlığı’na (MSS) bağladı.

Siber güvenlik

Saldırılar, 12 Nisan ile 15 Haziran arasında, ScanBox keşif çerçevesini sunmak için Avustralya medya firmaları gibi görünen URL’leri kullanan birkaç kimlik avı kampanyası dalgası şeklini aldı. Kimlik avı e-postaları, “Hasta İzni”, “Kullanıcı Araştırması” ve “İşbirliği Talebi” gibi konu satırlarıyla geldi.

Hedefler tarafından ziyaret edildiği bilinen meşru bir web sitesine kötü amaçlı JavaScript kodunun bulaştığı sulama delikleri veya stratejik web uzlaşmalarının aksine, APT40 etkinliği, kötü amaçlı yazılımı iletmek için kullanılan, aktör tarafından kontrol edilen bir alandan yararlanır.

Araştırmacılar, “Tehdit aktörü, kötü niyetli etki alanına bir URL sağlayarak ve web sitesini görüntülemeye veya web sitesinin yayınlayacağı araştırma içeriğini paylaşmaya yönelik hedef talep ederek, genellikle kurgusal medya yayını ‘Avustralya Sabah Haberleri’nin bir çalışanı gibi görünecekti” dedi.

Siber Casusluk Saldırıları

2014 gibi erken bir tarihte saldırılarda kullanılan ScanBox, tehdit aktörlerinin kurbanlarının profilini çıkarmasına ve ilgili hedeflere bir sonraki aşama yüklerini iletmesine olanak tanıyan JavaScript tabanlı bir kötü amaçlı yazılımdır. Ayrıca HUI Loader, PlugX ve ShadowPad gibi Çin merkezli birkaç hack grubu arasında özel olarak paylaşıldığı da biliniyor.

Daha önce ScanBox kullanılarak gözlemlenen bazı önemli tehdit aktörleri arasında APT10 (aka Red Apollo veya Stone Panda), APT27 (aka Emissary Panda, Lucky Mouse veya Red Phoenix) ve TA413 (aka Lucky Cat) bulunur.

Ayrıca, kötü amaçlı yazılım tarafından kurbanın web tarayıcısından alınan ve yürütülen bir dizi eklenti, onun tuş vuruşlarını kaydetmesine, tarayıcının parmak izini almasına, yüklü tarayıcı eklentilerinin bir listesini toplamasına, virüslü makinelerle iletişim kurmasına ve bunların varlığını kontrol etmesine izin veren bir dizi eklentidir. Kaspersky Internet Security (KIS) yazılımı.

Siber güvenlik

Bu, APT40’ın ScanBox’ı dağıtmak için sahte haber web sitelerini kullanma tarzını ilk kez benimsemesi değil. Mandiant tarafından ortaya çıkarılan bir 2018 kimlik avı kampanyası, alıcıları kötü amaçlı yazılımı indirmeleri için kandırmak için sahte bir etki alanında barındırılan haber makalesi URL’lerini kullandı.

İlginç bir şekilde, Nisan-Haziran saldırıları, Malezya ve Avustralya merkezli kuruluşların yanı sıra Mart 2021’den Mart 2022’ye kadar Güney Çin Denizi’ndeki açık deniz enerji projeleriyle potansiyel olarak ilgili küresel şirketleri hedef alan aynı tehdit aktörüyle bağlantılı sürekli bir kimlik avı etkinliğinin bir parçasıdır.

Bu saldırılar, daha sonra Meterpreter kabuk kodunun kodlanmış sürümlerini almak için bir kanal görevi gören bir birinci aşama indirici sağlamak için kötü niyetli RTF belgelerini kullandı. Mart 2022’deki bu kampanyanın kurbanlarından biri, Tayvan Boğazı’ndaki açık deniz rüzgar çiftliklerinde kullanılan Avrupalı ​​bir ağır ekipman üreticisiydi.

Hepsi bu değil. APT40 ayrıca, Haziran 2020’de açıklanan ve devlet kurumlarına yönelik olan Avustralya Siber Güvenlik Merkezi’nin (ACSC) Kopyala-Yapıştır Uzlaşmalarının arkasında olduğuyla ilişkilendirilmiştir.

Araştırmacılar, “Bu tehdit aktörü, savunma ve sağlık hizmetleri de dahil olmak üzere Avustralya’nın yerel hedefleriyle paralel olarak Güney Çin Denizi’nde enerji araştırması yapan kuruluşlara tutarlı bir şekilde odaklandığını gösterdi.” Dedi.





Source link