Haber
Yakın tarihli bir RA World fidye yazılımı saldırısı, geçmişte Çin merkezli casusluk aktörleriyle ilişkilendirildiği göz önüne alındığında, araştırmacıları şaşırtan bir araç seti kullandı.
Symantec’e göre, saldırı 2024’ün sonlarında meydana geldi. Araç seti, bir kurbanın cihazına dağıtılan toshdpdb.exe adlı meşru bir Toshiba yürütülebilir dosyası içeriyor. Daha sonra bir Plugx arka kapısı içeren bir yükü dağıtan kötü amaçlı bir dinamik bağlantı kitaplığına (DLL) bağlanır.
Bu durumda tehdit aktörleri, nihayetinde RA World Ransomware’i isimsiz bir Asya yazılım ve hizmetleri şirketine dağıtmak için araç kitini kullandı ve 2 milyon dolarlık bir fidye talep etti. İlk enfeksiyon vektörü bulunamadı. Ancak saldırgan, yararlanarak kurbanın ağını tehlikeye attıklarını iddia etti. Bir Palo Alto Pan-OS Güvenlik Açığı (CVE-2024-0012), Symantec’e göre.
“Saldırgan daha sonra idari kimlik bilgilerinin Amazon S3 bulut kimlik bilgilerini veeam sunucusundan çalmadan önce şirketin intranetinden alındığını, bilgisayarları şifrelemeden önce S3 kovalarından veri çalmak için kullandığını söyledi.” , ve prosedürler, saldırgan Çin bağlantılı İmparator Dragonfly, yani bronz Starlight, konuşlandırdığı bilinen bir grup olabilir Fikri mülkiyet hırsızlığını gizlemek için fidye yazılımı geçmişte.
Symantec araştırmacıları, araç setini kullanan önceki müdahalelerin güneydoğu Avrupa ülkesinin dışişleri bakanlığına, başka bir Güneydoğu Asya hükümet bakanlığının hükümeti ve Güneydoğu Asya telekom operatörüne karşı olduğunu belirtti. Bu saldırıların her biri geçen Temmuz ve Ocak ayları arasında meydana geldi ve hepsi fidye yazılımı bileşeni olmadan casuslukla ilgili idi.
“Çin tabanlı araçlar casusluk grupları genellikle paylaşılan kaynaklardır, birçoğu kamuya açık değildir ve genellikle siber suç faaliyeti ile ilişkili değildir, ” dedi araştırmacılar Bu hafta bir gönderide.