Bu ses otomatik olarak oluşturulur. Geri bildiriminiz varsa lütfen bize bildirin.
Dalış Kılavuzu:
- Ekim ayında, Google’ın Tehdit İstihbarat Grubu, Çin Hükümeti Hacker’larını APT41’den tespit etti. Google takvimini kötüye kullandı Verileri çalmak ve tehlikeye atılan cihazlarda işlemleri yürütmek için.
- Kötü amaçlı yazılım, takvim etkinliklerine çalınan verileri yerleştirdi ve saldırganlar, saldırıya uğramış bilgisayarlara talimatları dağıtmak için diğer takvim etkinliklerini kullandı.
- Google’ın yeni bulguları, seçkin siber tehdit gruplarının nasıl daha yaratıcı hale geldiğini ve bu kötü amaçlı operasyonlar için son derece güvenli bulut platformlarının bile nasıl geçirimsiz olmadığının altını çiziyor.
Dalış içgörü:
Google, Google takvimini, APT41’in altyapısı ve hem güvenilir hem de olumsuz olan uzlaşmış cihazlar arasında bir iletişim bağlantısı oluşturmanın yeni bir yolu olan bir komut ve kontrol (C2) sunucusu olarak kullanan “ToughProgress” olarak adlandırılan bir kötü amaçlı yazılım varyantını keşfetti.
Google Researchers, “Yürütüldükten sonra, ToughProgress, 2023-05-30, sabit kodlanmış bir tarihte sıfır dakikalık bir takvim olayı oluşturuyor ve ödün verilen ana bilgisayardan toplanan veriler, takvim olay açıklamasında şifreleniyor ve yazılıyor” dedi.
Araştırmacılar, “Operatör, önceden belirlenmiş tarihler de kötü amaçlı yazılımlara takılmış olan 2023-07-30 ve 2023-07-31 tarihlerinde takvim etkinliklerine şifreli komutlar yerleştiriyor” dedi. “ToughProgress daha sonra bu olaylar için yoklama takvimine başlar. Bir olay alındığında, olay açıklaması çözülür ve içerdiği komut tehlikeye atılan ana bilgisayarda yürütülür. Komut yürütmesinden elde edilen sonuçlar şifrelenir ve başka bir takvim etkinliğine yazılır.”
ToughProgress ilk kötü amaçlı yazılım zorluğu değil Bulut Hizmetlerinden İstismar C2 altyapısı için. Google araştırmacıları, “C2 için bulut hizmetlerinin kötüye kullanılması, birçok tehdit aktörünün meşru faaliyetlerle karışmak için kaldırdığı bir tekniktir” diye yazdı. Microsoft– Dropbox ve hatta Instagram.
Meşru, yüksek profilli bulut hizmetlerinin sürekli kötüye kullanılması, güvenlik ekipleri için sadece şüpheli bağlantılar (kötü niyetli web sitelerine yapılan ziyaretler gibi) için değil, aynı zamanda meşru bağlantılar üzerinde meydana gelen hain etkinlikleri de izlemesi gereken büyük bir zorluk sunmaktadır.
Çin devlet destekli grup APT41 Pekin’in önde gelen hack takımlarından biridir. Grubun bu yüklere “çeşitli coğrafi konumlarda ve endüstrilerde yüzlerce hedefe” bağlantıları gönderdiğini gözlemleyen Google araştırmacılarına göre, grup en azından geçen Ağustos ayından bu yana yüklerini barındırmak için ücretsiz hizmetler kullandı. Araştırmacılara göre APT41 özellikle Cloudflare çalışan web alanlarına düşkün.