Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Asya
Symantec, 2021 Hong Kong Sulama Deliği Saldırılarını Daggerfly’a Bağladı
Prajeet Nair (@prajeetskonuşuyor) •
23 Temmuz 2024
Güvenlik araştırmacıları, 2021 yılında Hong Kong’daki demokrasi yanlısı aktivistlere yönelik bir dizi arka kapı saldırısının, yakın zamanda cephaneliğini yeniden düzenleyen bir Çinli siber casusluk grubuna ait olduğunu tespit ettiklerini söylüyor.
Ayrıca bakınız: APJ’de Siber Güvenliğin Geleceği
Symantec Threat Hunter Team tarafından Daggerfly olarak izlenen grup, iPhone ve macOS cihazlarına yüklenen ve daha önce adı geçmeyen Macma arka kapısının arkasında olabilir. Google araştırmacıları, 2021’de, muhtemel devlet destekli tehdit aktörü, kötü amaçlı yazılımı, Hong Kong’daki bir medya kuruluşuna ve “önde gelen bir demokrasi yanlısı işçi ve siyasi gruba” çevrimiçi ziyaretçileri hedef alan watering hole saldırıları yoluyla iletti.
Hong Kong, 2019’dan 2020’ye kadar Çin otoriterliğine karşı kitlesel protestoların gerçekleştiği yerdi. Daha küçük çaplı protestolar, yeni koronavirüs salgını ve polis baskısına rağmen 2021’de devam etti.
Evasive Panda ve Bronze Highland olarak da bilinen hacker grubu, geliştirilmiş ekran görüntüsü alma işlevi ve bir dosyanın sistem listesini toplamak için yeni bir mantık içeren Macma’nın yeni sürümlerini kullanıyor.
Symantec daha önce Daggerfly’ın 2023 yılında Afrika’da bir “telekomünikasyon kuruluşuna” saldırdığını tespit etmişti.
Tehdit istihbaratı araştırmacıları, Macma’yı Daggerfly ile, bilinen başka bir Daggerfly aracı olan MgBot modüler kötü amaçlı yazılım çerçevesiyle örtüşmeyi belirleyerek bağlayabildiklerini söylüyorlar. Macma arka kapısının bir komuta ve kontrol sunucusuna bağlı iki çeşidi de MgBot’u düşürmek için kullanılıyordu. Her iki uygulama da “tek, paylaşımlı bir kitaplıktan veya çerçeveden” kod içeriyor.
Daggerfly’ın arkasındaki tehdit aktörleri, Eset araştırmacıları tarafından bu yılın başlarında tespit edilen Trojan, Suzafk veya Nightdoor olarak adlandırılan yeni bir Windows arka kapısını da kullanıyor.
Symantec’in izlediği şekliyle Suzafk, komut ve kontrol iletişimleri için TCP veya OneDrive’ı kullanabilen çok aşamalı bir arka kapıdır. Yükleyicisi şu gibi dosyaları düşürür: Engine.dll
Ve MeituUD.exe
.MeituUD.exe
kötü amaçlı kullanım için yeniden amaçlandırılmış meşru bir uygulamadır ve Engine.dll
zamanlanmış görevler aracılığıyla kalıcılığı ayarlar ve son yükü belleğe yükler.