Afrika’daki telekomünikasyon hizmetleri sağlayıcıları, en azından Kasım 2022’den bu yana Çin bağlantılı bir tehdit aktörü tarafından düzenlenen yeni bir kampanyanın hedefi.
İzinsiz girişler, Symantec tarafından takip edilen bir bilgisayar korsanlığı ekibine sabitlendi. hançer sineğive aynı zamanda daha geniş siber güvenlik topluluğu tarafından Bronze Highland ve Evasive Panda olarak izleniyor.
Siber güvenlik şirketi The Hacker News ile paylaştığı bir raporda, kampanyanın “MgBot kötü amaçlı yazılım çerçevesinden daha önce görülmemiş eklentileri” kullandığını söyledi. “Saldırganların ayrıca bir PlugX yükleyici kullandığı ve meşru AnyDesk uzak masaüstü yazılımını kötüye kullandığı görüldü.”
Daggerfly’ın MgBot yükleyiciyi (BLame veya MgmBot olarak da bilinir) kullanımı, Temmuz 2020’de Malwarebytes tarafından Hindistan hükümet personeline ve Hong Kong’daki bireylere yönelik kimlik avı saldırılarının bir parçası olarak dikkatleri üzerine çekti.
Secureworks’e göre tehdit aktörü, MgBot’un yanı sıra Cobalt Strike ve KsRemote adlı bir Android uzaktan erişim truva atı (RAT) gibi diğer araçları düşürmek için hedefli kimlik avını ilk bulaşma vektörü olarak kullanıyor.
Grubun, yerel insan hakları ve demokrasi yanlısı savunuculara ve Çin’e komşu ülkelere karşı 2014 yılına kadar casusluk faaliyetleri yürüttüğünden şüpheleniliyor.
Symantec tarafından analiz edilen saldırı zincirleri, BITSAdmin ve PowerShell gibi meşru bir AnyDesk yürütülebilir dosyası ve bir kimlik bilgisi toplama aracı da dahil olmak üzere sonraki aşama yüklerini teslim etmek için arazide yaşayan (LotL) araçların kullanıldığını gösteriyor.
Tehdit aktörü daha sonra yerel bir hesap oluşturarak kurban sistemde kalıcılık oluşturmak için harekete geçer ve tarayıcı verilerini toplamak, tuş vuruşlarını günlüğe kaydetmek, ekran görüntüleri yakalamak, ses kaydetmek ve Aktif Dizin hizmeti.
Aldatarak Savun: Sıfır Güven Güvenliğini Geliştirme
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Symantec, “Tüm bu yetenekler, saldırganların kurban makinelerden önemli miktarda bilgi toplamasına izin verirdi.” Dedi. “Bu eklentilerin yetenekleri, bu kampanya sırasında saldırganların asıl amacının bilgi toplamak olduğunu da gösteriyor.”
MgBot’un her şeyi kapsayan doğası, kurban ortamlarına erişim elde etmek için operatörler tarafından aktif olarak sürdürüldüğünü ve güncellendiğini gösterir.
Açıklama, SentinelOne’ın Orta Doğu’daki telekomünikasyon sağlayıcılarını hedefleyen 2023’ün 1. çeyreğinde Tainted Love adlı bir kampanyayı detaylandırmasından yaklaşık bir ay sonra geldi. Gallium (namı diğer Othorene) ile örtüşen paylaşımları paylaşan Çinli bir siber casusluk grubuna atfedildi.
Symantec ayrıca, aynı faaliyet kümesinin Asya ve Afrika’da bulunan üç ek kurbanı tespit ettiğini söyledi. Kasım 2022’de ihlal edilen kurbanlardan ikisi, Orta Doğu bölgesindeki bir telekom şirketinin yan kuruluşları.
Symantec, “Telekom şirketleri, potansiyel olarak son kullanıcıların iletişimine sağlayabilecekleri erişim nedeniyle istihbarat toplama kampanyalarında her zaman kilit bir hedef olacaktır.” Dedi.