Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Çok Sayıda Çinli Tehdit Grubu Ortak Altyapı Kullanıyor ve Benzer Mağdurları Hedefliyor
Jayant Chakravarti (@JayJay_Tech) •
12 Aralık 2023
Güvenlik araştırmacıları, Çinli siber casusluk grubu Sandman ile Orta Doğu ve Güney Asya’daki kurbanları hedef alan bir Çin tehdit kümesi arasında güçlü bağlantılar kurdu.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
SentinelOne, Microsoft ve PwC tehdit istihbaratı tarafından yapılan araştırma, birden fazla Çinli tehdit grubu arasında kurban seçimi, ortak altyapı ve araçlar ve yönetim uygulamaları konusunda “önemli bir işbirliği ve koordinasyon” olduğunu ortaya çıkardı.
SentinelOne araştırmacıları, Sandman’i ve Microsoft tarafından STORM-0866/Red Dev 40 olarak takip edilen önemli bir Çinli tehdit aktörünün, kötü amaçlı yazılımlarını aynı kurban ortamlarında çalıştırdığını, altyapı kontrolünü paylaştığını ve işlevsellik ve tasarım açısından benzerlikler sergilediğini gözlemledi.
Ağustos ayında, SentinelOne araştırmacıları Orta Doğu, Batı Avrupa ve Güney Asya’daki telekomünikasyon şirketlerini hedeflemek için Sandman’ı, Lua programlama dilinin tam zamanında derleyicisi olan LuaJIT’i temel alan modüler bir arka kapı kullanarak takip etti (bkz: Ulus-Devlet Aktörleri Serbest Bırakılıyor) Gizli, LuaJIT Tabanlı Kötü Amaçlı Yazılım).
Mart ayında firma, Orta Doğulu telekomünikasyon sağlayıcılarına yönelik siber saldırı telaşını Çin devleti destekli grup Gallium ve APT41’e bağladı. Saldırganlar, web kabuklarını dağıtmak ve yanal hareket, keşif, kimlik bilgileri hırsızlığı ve veri sızıntısı gerçekleştirmek için internete bakan Microsoft Exchange sunucularına sızdı.
Aynı sıralarda Microsoft, bazıları aynı uç noktalarda olmak üzere aynı kurban ortamlarında KEYPLUG arka kapısını çalıştıran en az üç Çin tehdit kümesini gözlemledi. Bunlardan biri, KEYPLUG C2 iletişimi için benzersiz şifreleme anahtarları açısından diğer gruplardan ayrılan STORM-0866/Red Dev 40’tı. Grup ayrıca C2 sunucularının gerçek barındırma konumlarını gizlemek için bulut tabanlı ters proxy altyapısına güvenerek operasyonel güvenliğe daha fazla odaklandığını gösterdi.
SentinelOne, “Bu farklı kötü amaçlı yazılım türlerinin uygulanması ve C2 altyapısının yakından incelenmesi, ortak geliştirme göstergelerinin yanı sıra altyapı kontrolü ve yönetim uygulamalarının yanı sıra işlevler ve tasarımda bazı örtüşmeler ortaya çıkardı; bu da operatörlerinin ortak işlevsel gereksinimlerine işaret ediyor.” dedi.
Siber güvenlik şirketi Mandiant, KEYPLUG arka kapısını ilk olarak Mart 2022’de analiz etti. Şirket, Shadowpad ve BARIUM olarak da bilinen Çinli siber casusluk grubu APT41’in, 2021 yılında en az altı ABD eyalet hükümeti ağına sızmak için arka kapıyı kullandığını söyledi.
Mandiant’a göre KEYPLUG, C2 iletişimi için birden fazla ağ protokolünü destekleyen, C++ ile yazılmış modüler bir arka kapıdır. Komutları almak ve komut ve kontrol sunucusuna bilgi göndermek için Cloudflare CDN uç sunucuları aracılığıyla TLS protokolü üzerinden WebSocket’ten yararlanma benzersiz yeteneğine sahiptir.
Mart ayında, Recorded Future’ın Insikt Grubu, Çin Devlet Güvenlik Bakanlığı ve Chengdu merkezli 404 Ağ Teknolojisi ile bağlantılı Çinli bir tehdit grubunun, çok çeşitli kuruluşları hedeflemek için KEYPLUG arka kapısının Windows ve Linux çeşitlerini kullandığını söyledi. Araştırma firması, tehdit grubu ile APT41 arasında çok sayıda altyapı, teknik ve prosedürel örtüşme tespit ettiğini söyledi.
“KEYPLUG’ın yanı sıra RedGolf’un Cobalt Strike, PlugX ve dinamik DNS alan adlarını kullandığını da belirledik; bunların tümü Çin devleti destekli birçok tehdit grubu arasında yaygın olarak kullanılıyor” dedi.
SentinelOne, Sandman’in LuaDream arka kapısı ile STORM-0866’nın KEYPLUG arka kapısı arasındaki benzerliklerin mağduriyetlerinin çok ötesine geçtiğini söyledi. Örneğin, her iki arka kapı da ilk olarak belirlenen işlevlerdeki sistem ve kullanıcı bilgilerini toplar ve sızdırır ve C2 sunucusundan gelen verileri depolamak için aynı belirlenmiş küresel veri arabelleklerini kullanır. İki arka kapı aynı zamanda bu arabelleklerden okuma ve yazma için belirlenmiş işlevleri de uygular.
Şirket, “Uygulamaları boyunca hem LuaDream hem de KEYPLUG, GetTickCount işlevi tarafından döndürülen sistem çalışma süresine dayalı olarak tek seferlik tam sayı değerleri üretiyor” dedi. “Arka kapılar, sistemin çalışma süresine modülo ve/veya ekleme işlemleri uygulayarak bu değerleri hesaplar. Oluşturulan değerlerin bazı örtüşen kullanımları, uyku zaman aralıkları veya protokole özel anahtarlar şeklindedir, örneğin Sec-WebSocket-Key paket başlık alanı. WebSocket açılış tokalaşmasında kullanılır.”