Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç
Tehdit Aktörü Muhtemelen Pekin Siber Casusluk Operatörü
Prajeet Nair (@prajeetskonuşuyor) •
9 Eylül 2024
Çince konuşan bir bilgisayar korsanlığı grubu, Çin anakarasına yaklaşık 100 mil uzaklıkta bulunan ada ülkesindeki Tayvan’daki drone üreticilerini ve diğer askeri endüstrileri hedef alıyor.
Ayrıca bakınız: Web Semineri | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Trend Micro, Cuma günü tehdit aktörünü “Tidrone” olarak takip ettiğini söyledi. Dosya karmaşıklık süreleri ve çalışma saatleri gibi faktörler, Tidrone’un “muhtemelen henüz tanımlanmamış Çince konuşan bir tehdit grubu tarafından casusluk amacıyla yürütüldüğüne” işaret ediyor.
Tidrone saldırganları, Cxclnt ve Clltend gibi özel kötü amaçlı yazılımları dağıtmak için açık kaynaklı uzaktan yönetim yardımcı programı UltraVNC dahil olmak üzere uzak masaüstü araçlarını kullandı. İkincisi, TrendMicro’nun ilk olarak Nisan ayında tespit ettiği bir uzaktan erişim aracıdır. Kötü amaçlı yazılım hassas bilgileri toplar, güvenlik kontrollerini atlatır ve ek kötü amaçlı yükler yürütür.
Çin, Tayvan’ı ulusal topraklarının bir parçası olarak görüyor ve özellikle Çin lideri Xi Jinping’in himayesi altında Tayvan Boğazı üzerinde hakimiyet kurmak için adımlar attı. ABD’nin Tayvan’daki en üst düzey elçisi Çarşamba günü, ABD’nin “Tayvan’a karşı herhangi bir kuvvete veya diğer zorlama biçimlerine başvurmaya direnme kapasitesini sürdürmeye devam edeceğine” yemin etti. ABD Ulusal Güvenlik Danışmanı Jake Sullivan, Ağustos ayı sonlarında Xi ile bir araya geldi ve daha sonra gazetecilere Xi’ye “Tayvan Boğazı boyunca barış ve istikrarı sürdürmenin önemini” vurguladığını söyledi.
Çin’in siber uzayda Tayvan’a yönelik saldırganlığı dezenformasyon kampanyaları ve casusluk içeriyordu. Mayıs 2020’de Tayvan’ın en büyük benzin tedarikçisi olan devlete ait CPC Corp.’a yönelik bir fidye yazılımı saldırısı, devlet destekli bir saldırının izlerini taşıyordu. Güvenlik araştırmacıları daha yakın zamanda Tayvan hükümetine bağlı bir araştırma enstitüsünde gerçekleşen bir ihlali, genellikle APT41 olarak izlenen bir Pekin hacker grubuna kadar takip ettiler. ABD Adalet Bakanlığı, 2020’de APT41 üyelerini, dünya çapında 100’den fazla şirkete ve hükümete saldırmak için fidye yazılımı ve diğer kötü amaçlı yazılımları kullanmakla suçladı.
TrendMicro, Tidrone’un yalnızca Tayvanlı siber savunmacıların endişesi olmadığı konusunda uyardı çünkü “VirusTotal’den gelen telemetri, hedef ülkelerin çeşitlilik gösterdiğini gösteriyor.”
Tidrone operatörleri, tehlikeye atılan sistemlerde kalıcılığı sağlamak için, saldırı sonrası Kullanıcı Hesabı Denetimini atlatmak, kimlik bilgilerini boşaltmak ve antivirüs yazılımlarını devre dışı bırakmak gibi teknikler kullanırlar.
Araştırmacılar tarafından yapılan analiz, enfeksiyon zincirlerinin muhtemel bir tedarik zinciri saldırısına işaret ettiğini buldu. Birden fazla kurbanın ortamında ERP yazılımının bulunması, kötü amaçlı yazılımın bu platform aracılığıyla dağıtılabileceğini düşündürmektedir.
Cxclnt kötü amaçlı yazılımı dosyaları yükleyip indirebilir, sistem izlerini temizleyebilir ve dosya listeleri ve sistem bilgileri gibi kurban verilerini toplayabilir. Ayrıca taşınabilir yürütülebilir dosyaları indirip çalıştırabilir.
Clntend, komuta ve kontrol sunucularıyla gizli iletişim için birden fazla ağ protokolünü destekleyen daha gelişmiş bir uzaktan erişim aracıdır. Kötü amaçlı yazılımın yetenekleri, hedeflenen kuruluşlar içinde uzun vadeli gözetim ve veri toplama için kullanıldığını göstermektedir.
Tridone, tespit edilmekten kaçınmak için uygulamaların ana süreçlerini kontrol etmek ve kötü amaçlı yazılımın yürütme akışını değiştirmek için GetProcAddress gibi yaygın API’leri bağlamak gibi anti-analiz tekniklerini kullanıyor.