CyberSec Firması i-Soon Sızıntısı Çinli Hackerların Kullandığı Araçları Ortaya Çıkardı


Cybersec Firması i-Soon Sızıntısı Çinli Hackerların Kullandığı Araçları Ortaya Çıkardı

Bir siber güvenlik şirketinin veri ihlali, yalnızca hassas müşteri bilgilerini tehlikeye atmakla kalmayıp aynı zamanda şirketin verileri koruma becerisine olan güveni de bozduğu için son derece zarar verici olabilir.

Olay aynı zamanda maddi kayıplara, hukuki sonuçlara ve itibar kaybına da yol açabilir.

Yakın zamanda Çinli bir BT güvenlik firması olan “i-Soon”un (diğer adıyla Anxun Bilgi Teknolojisi) hassas verileri 16 Şubat 2024’te GitHub’a sızdırıldı ve bu ihlal dahili iletişimleri, satış materyallerini ve ürün kılavuzlarını da içeriyor.

Sızan materyaller, Çin’e bağlı siber casusluğa yardım eden ticari bir varlığı ortaya koyuyor.

Birim 42’deki siber güvenlik araştırmacıları, veri sızıntısının gerçekliğini yüksek bir güvenle doğrulayan geçmiş APT kampanyalarına bağlantılar buluyor.

Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.

CyberSec Firması i-Soon Sızıntısı

Birim 42, aktörlerin sahip olduğu altyapıyı ve Çin’in geçmişteki tehdit faaliyetleriyle bağlantılı olası kötü amaçlı yazılımları ortaya çıkarıyor.

GitHub’un kaldırılmasına rağmen siber güvenlik araştırmacıları paylaşılan verileri analiz etmeye devam ediyor.

GitHub deposu i-Soon’un Hindistan, Tayland, Vietnam, Güney Kore ve NATO’yu hedef aldığını iddia ediyor. Araştırmacılar bu iddiaları doğruladı ve sohbet günlükleri, ekran görüntüleri, kurban verileri ve belgelerin bir karışımını analiz etti.

Kasım 2018 ile Ocak 2023 arasında gerçekleşen görüşmelerde 37 kullanıcı adı yer aldı ve işten yazılım açıklarına kadar çeşitli konular ele alındı.

i-Soon’un sızdırılan çevrimiçi sohbetleri (Kaynak – Palo Alto Networks)

Bunun yanı sıra, Unite 42’deki güvenlik uzmanları sızdırılan i-Soon mesajlarını bilinen iki Çin APT kampanyasıyla ilişkilendiriyor.

Aşağıda bu iki kampanyadan bahsettik: –

  • Kampanya 1: 2022 Tedarik Zinciri Saldırısı
  • Kampanya 2: 2019 Zehirli Sazan Saldırısı

Veri sızıntıları, Çin APT gruplarına bağlı yazılım araçlarına yönelik kılavuzları ortaya çıkarıyor. Ancak i-Soon’un bu araçları geliştirip geliştirmediği, yeniden sattığı veya kullanıp kullanmadığı belirsiz.

Bunun yanı sıra belgeler, Çin’e atfedilen tehdit aktörleri arasında paylaşılan kötü amaçlı yazılım setlerini doğruluyor.

Kılavuzlardan biri i-Soon’a bağlantı veriyor ve Chengdu 404 çalışanlarına karşı 2019’da ABD’de hazırlanan iddianamede atıfta bulunulan ‘Treadstone’ adlı bir araca sahip.

Treadstone Linux kötü amaçlı yazılım kontrol paneli (Kaynak – Palo Alto Networks)

İddianame Treadstone’u Winnti kötü amaçlı yazılımına ve küçük bir hacker grubuna bağlıyor. 2023’teki dava dikkate alındığında i-Soon, Treadstone panelini geliştirmiş olabilir.

Başka bir belge, yönetici paneli ekran görüntüsünü içeren bir teknik incelemeyle birlikte Çin APT aracının ayrıntılarını veriyor.

Yönetici paneli (Kaynak – Palo Alto Networks)

Panelde, daha önce SentinelLabs tarafından Ağustos 2021’de Winnti tarafından kullanılan ShadowPad C2 sunucusuna bağlanan genel bir IP ve bağlantı noktası (TCP://118.31.3.116:44444) görüntülenir.

Bu, i-Soon ile Winnti’nin alet geliştirmesi arasındaki bağlantıyı güçlendirir.

Bushidotokens, IP 74.120.172.10 üzerinden POISON CARP bağlantısının Çin MPS operasyonlarıyla bağlantısı olduğundan, bilinen tehdit aktörleriyle veri sızıntısı bağlantıları buluyor.

Yasal anlaşmazlık i-SOON’u Chengdu 404’e bağlıyor. IP 8.218.67.52 üzerinden JACKPOT PANDA bağlantısı, i-SOON’un çevrimiçi kumar hedeflerine odaklanmasıyla uyumludur.

Veri sızıntısı, Çin’in özel bilgisayar korsanlığı sektörüne dair nadir bilgiler sunuyor ve bu da ABD hükümetinin raporlarını destekliyor.

Çinli tehdit aktörlerinin araç setlerini nasıl paylaştığını veya sattığını ortaya koyuyor; bu da savunucular ve analistler için atıf yapmayı zorlaştırıyor.

Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.

Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.





Source link