Trend Micro araştırmacılarına göre, Çin hükümeti destekli bir gelişmiş kalıcı tehdit (APT) grubu, dünya çapında eğitim, hükümet ve araştırma sektörlerini hedef almak için hedef odaklı kimlik avı saldırıları başlattı.
Rapor, bu yılın başlarında araştırmacıların Google Drive’ı kötü amaçlı MS Office belge indirmelerinin %50’sine bağladığı için şaşırtıcı değil.
Kampanya Ayrıntıları
Saldırganlar, Google Drive’da depolanan özel kötü amaçlı yazılımları dağıtıyor. Saldırılar Mart ve Ekim 2022 arasında keşfedildi. Grubun birincil hedefleri Japonya, Avustralya, Myanmar, Tayvan ve Filipinler’de bulunuyordu. Bilgin olsun, casusluk grubu Temmuz 2018’den beri aktif.
Saldırı Nasıl Çalışır?
Saldırganlar, hedeflenen kuruluşları kötü amaçlı yazılımı indirmeye ve çalıştırmaya ikna etmek için tartışmalı jeopolitik konuları kapsayan sahte belgeler aracılığıyla ağa erişim elde eder.
Bazı durumlarda, bu kampanyanın başarı oranını artırmak için daha önce ele geçirilmiş ve belirli kuruluşlara ait olan e-posta hesaplarından kimlik avı mesajları gönderilmiştir. Arşiv dosyaları kurbana sahte bir belge gösterir.
Ancak, arka planda DLL yandan yükleme yoluyla kötü amaçlı yazılım yükler. Sonunda, saldırgan bir sonraki aşama yüklerini indirmek için üç kötü amaçlı yazılım ailesi sunar. Kullandıkları ana arka kapı, TONEINS kabuk kodu yükleyicisi aracılığıyla kurulan TONESHELL’dir.
Saldırganlar, bağlantı noktalarını bir Dropbox veya Google Drive klasörüne yerleştirerek güvenlik mekanizmalarını atlar. Bu bağlantılar, PubLoad ve TONESHELL gibi özel kötü amaçlı yazılım türleri içeren ZIP, RAR ve JAR gibi sıkıştırılmış dosyaları indirmek için yeniden yönlendirir.
“Grup, hedeflenen bir kurbanın sistemlerine sızdığında, çalınan hassas belgeler bir sonraki izinsiz giriş dalgası için giriş vektörleri olarak kötüye kullanılabilir. Bu strateji, ilgili bölgede etkilenen kapsamı büyük ölçüde genişletiyor.”
Nick Dai, Vickie Su, Sunny Lu – Trend Micro
Saldırgan kim?
Araştırmacılar, saldırılardan sorumlu grubun TA416 olarak da bilinen Mustang Panda, Red Lich, Earth Preta, HoneyMyte ve Bronze President olduğunu iddia ediyor. Mustang Panda, güvenliği ihlal edilmiş sistemlerden veri toplamak için China Chopper ve PlugX kötü amaçlı yazılımlarını kullanmayı tercih ediyor.
Trend Micro raporunda, Mustang Panda’nın saldırı taktiklerini tespit edilmekten kaçınmak ve PUBLOAD, TONEINS ve TONESHELL gibi ısmarlama kötü amaçlı yazılım ailelerini dağıtmalarına olanak tanıyan bulaşma yöntemlerini kullanmak için sürekli olarak geliştirdiğini belirtti.
Alakalı haberler
- Windows Logosunda Kötü Amaçlı Yazılım Gizleyen Çinli Bilgisayar Korsanları
- Akıllı Twitter Şeması ile Hedefleri Yakalayan APT Grupları
- Çinli Bilgisayar Korsanları SMS Bombardıman Aracında Kötü Amaçlı Yazılım Dağıtıyor
- Çinli bilgisayar korsanları tarafından Hedeflenen Windows, Linux ve macOS Kullanıcıları
- Microsoft, 42 web sitesini ele geçirerek Çinli bilgisayar korsanlarının faaliyetlerini bozuyor