Kasım 2024’te isimsiz bir Asyalı yazılım ve hizmet şirketini hedefleyen bir RA World Fidye Yazılımı Saldırısı, sadece Çin merkezli siber casusluk grupları tarafından kullanılan kötü amaçlı bir aracın kullanımını içeriyordu ve tehdit oyuncusunun bir bireyde fidye yazılım oyuncusu olarak ay ışığı olma olasılığını artırdı. kapasite.
Broadcom’un bir parçası olan Symantec Tehdit Hunter ekibi, Hacker News ile paylaşılan bir raporda, “2024’ün sonlarında saldırı sırasında saldırgan, daha önce Çin bağlantılı bir aktör tarafından klasik casusluk saldırılarında kullanılan farklı bir araç seti kullandı.” Dedi. .
Diyerek şöyle devam etti: “Araç setini içeren önceki tüm müdahalelerde, saldırgan klasik casuslukla uğraşıyor gibi görünüyordu, görünüşe göre sadece backdoors kurarak hedeflenen kuruluşlarda kalıcı bir varlığı sürdürmekle ilgileniyor.”
Bu, Mustang Panda (aka Fireant ve Redelta) aktör tarafından tekrar tekrar kullanılan bir kötü amaçlı yazılım olan Plugx (diğer adıyla Korplug) dağıtmak için klasik DLL yan yükleme tekniklerinin kullanımını içeren bir ülkenin Dışişleri Bakanlığı’nın uzlaşmasını içeriyordu. .
Özellikle, saldırı zincirleri, “toshdpdb.exe” adlı meşru bir Toshiba yürütülebilir dosyasının, “toshdpapi.dll” adlı kötü niyetli bir DLL’yi kenar yüklemek için kullanmayı gerektirir, bu da şifreli Plugx yükünü yüklemek için bir kanal görevi görür.
Aynı araç setiyle bağlantılı diğer müdahaleler, Ağustos 2024’te Güneydoğu Avrupa ve Güneydoğu Asya’daki iki farklı hükümet varlığını, Eylül 2024’te bir telekom operatörü ve Ocak 2025’te farklı bir Güneydoğu Asya ülkesinde başka bir hükümet bakanlığı ile bağlantılı olarak gözlenmiştir.
Ancak Symantec, Plugx varyantının Kasım 2024’te Güney Asya’daki orta ölçekli bir yazılım ve hizmet şirketine karşı bir suç gasp kampanyasının bir parçası olarak konuşlandırıldığını gözlemledi.
Saldırgan Palo Alto Networks Pan-OS yazılımında (CVE-2024-0012) bilinen bir güvenlik kusurundan yararlanarak bunu iddia etse de, şirketin ağının nasıl tehlikeye atıldığı tam olarak açık değil. Saldırı, makinelerin RA World fidye yazılımı ile şifrelenmesi ile sonuçlandı, ancak Toshiba ikili, Plugx kötü amaçlı yazılımları başlatmak için kullanılmadan önce değil.
Bu noktada, Cisco Talos ve Palo Alto Networks Birimi 42’den önceki analizlerin RA World (eski adıyla RA Grubu olarak adlandırılan) ve Bronz Starlight (AKA Storm-401 ve İmparator Dragonfly) olarak bilinen bir Çin tehdit grubu arasındaki tradecraft çakışmalarını ortaya çıkardığını belirtmek gerekir. Kısa ömürlü fidye yazılımı aileleri kullanma geçmişi vardır.
Bir casusluk aktörünün neden finansal olarak motive olmuş bir saldırı yürüttüğü bilinmese de Symantec, yalnız bir aktörün çabanın arkasında olduğunu ve yanda hızlı kazançlar elde etmeye çalıştıklarını teorize etti. Bu değerlendirme aynı zamanda Sygnia’nın Ekim 2022’de “tek tehdit oyuncusu” olarak tanımladığı İmparator Yapanma analizi ile de sıralanıyor.
Bu ay ışığı biçimi, Çin hackleme ekosisteminde nadiren gözlemlenirken, İran ve Kuzey Kore’den gelen tehdit aktörleri arasında çok daha yaygındır.
Google Tehdit İstihbarat Grubu (GTIG), “Finansal olarak motive olmuş devlet hedeflerini destekleyen bir başka finansal motive olmuş faaliyetin bir başka biçimi, örtük veya açıkça, gelirlerini desteklemek için finansal olarak motive edilmiş operasyonlar yürütmesine izin verilen gruplardır.” Dedi. Bu hafta yayınlanan bir rapor.
Diyerek şöyle devam etti: “Bu, bir hükümetin güçlü yeteneklere sahip grupları korumak için gerekli olan doğrudan maliyetleri dengelemesine izin verebilir.”
Salt Typhoon, telkosları ihlal etmek için savunmasız Cisco cihazlarından yararlanır
Geliştirme, Salt Typhoon olarak bilinen Çin ulus-devlet hackleme grubunun, birden fazla ağa nüfuz etmek için Cisco Network Cihazlarında (CVE-2023-20198 ve CVE-2023-20273) bilinen güvenlik kusurlarından yararlanan bir dizi siber saldırı ile bağlantılı olarak geliyor. .
Kötü niyetli siber etkinliğin, önemli bir İngiltere merkezli telekomünikasyon sağlayıcısının, Güney Afrikalı bir telekomünikasyon sağlayıcısının ve bir İtalyan İnternet hizmetinin ve enfekte olmuş Cisco cihazları arasında tespit edilen iletişimlere dayanan büyük bir Tayland telekomünikasyon sağlayıcısının ABD merkezli bir iştirakini seçtiği değerlendirildi. ve tehdit oyuncusu altyapısı.
Saldırılar 4 Aralık 2024 ile 23 Ocak 2025 arasında gerçekleşti, kaydedilen Future’s Insikt Group, Toprak Astries, FamilySparrow, Ghostempor, Redmike ve UNC286 olarak da 1000’den fazla Cisco Cihazı’nı küresel olarak kullanmaya çalışarak rakipleri ekleyerek, Zaman dilimi sırasında.
Hedeflenen Cisco aletlerinin yarısından fazlası ABD, Güney Amerika ve Hindistan’da bulunmaktadır. Hedefleme odağının genişlemesi gibi görünen tuz tayfası, Arjantin, Bangladeş, Endonezya, Malezya, Meksika, Hollanda, Tayland, ABD ve Vietnam’da bir düzineden fazla üniversiteyle ilişkili cihazlar da gözlenmiştir.
Şirket, “RedMike muhtemelen bu üniversiteleri, özellikle UCLA ve TU Delft gibi kurumlarda telekomünikasyon, mühendislik ve teknoloji ile ilgili alanlarda araştırmaya erişmeyi hedefledi.” Dedi.
Başarılı bir uzlaşmayı, cihazın konfigürasyonunu değiştirmek ve uzlaşmış Cisco cihazları ve altyapıları arasında kalıcı erişim ve veri açığa vurması için genel bir yönlendirme kapsülleme (GRE) tüneli eklemek için yükseltilmiş ayrıcalıkları kullanan tehdit aktörü izler.
Korunmasız ağ cihazlarını hedef mağdurlara giriş puanı olarak kullanmak, kısmen güvenlik kontrollerinden yoksun oldukları ve uç nokta tespiti ve müdahale ile desteklenmedikleri gerçeği nedeniyle, tuz tayfası ve Volt Typhoon gibi diğer Çin hack grupları için standart bir oyun kitabı haline geldi. (EDR) Çözümler.
Bu tür saldırıların sağladığı riski azaltmak için, kuruluşların mevcut güvenlik yamalarını ve güncellemeleri kamuya açık ağ cihazlarına uygulamaya öncelik vermeleri ve özellikle internete yönetimsel arayüzleri veya gerekli olmayan hizmetleri ortaya çıkarmaktan kaçınmaları önerilir. Hayat (EOL).