Güney Çin Denizi’nde, Çinli tehdit aktörleri, bir gasp aracı olarak rüzgar türbini filolarını ve Avustralya devlet kurumlarını hedef aldı. Avustralyalı bir haber kuruluşunu taklit eden sahte bir Avustralya medya kuruluşu, bu kişiler tarafından belirli kişileri hedef almak için kullanılıyor.
ScanBox keşif çerçevesi aracılığıyla kötü amaçlı JavaScript yükleri alan kurbanların, baştan çıkarıcı yemler içeren kimlik avı e-postaları aldıktan sonra dolandırıcı siteye geldikleri keşfedildi.
Bu kampanyanın hedef kitlesi aşağıdaki sektörlerdeki kişilerdi ve bu yılın Nisan-Haziran ayları arasında gerçekleşti:-
- Avustralya Devlet kurumları
- Avustralya haber medya kuruluşları
- Küresel ağır sanayi üreticileri
- Güney Çin Denizi’ndeki rüzgar türbinleri
PwC ve Proofpoint güvenlik araştırmacıları tarafından bildirildiği üzere, kampanyanın siber casusluk amacıyla kullanılmak üzere tasarlandığını değerlendirdiler. Faaliyeti, APT40 adlı bir grubun parçası olarak izlenen Çin’den bir grup tehdit aktörüne atfetme konusunda orta düzeyde bir güven var.
yasa dışı kampanya
Geçmişte bir bileşen olarak ScanBox kullanan güvenlik analistleri tarafından yaklaşık 6 Çinli tehdit aktöründen kaynaklanan birkaç saldırı gözlemlendi.
Araç setinin en azından 2014’ten beri konuşlandırıldığını gösteren birkaç kanıt olsa da, ortada hâlâ pek çok şüphe var.
Aşağıda 6 Çinli tehdit aktörünün hepsinden bahsettik:-
- Red Sylvan (aka APT3, Gotik Panda)
- Kızıl Apollo (aka APT10, Taş Panda)
- Red Phoenix (aka APT27, Elçi Panda)
- TA423 / Red Ladon (aka APT40, Leviathan, GADOLINIUM)
- Red Dev 16 (nazar, Earth Empusa, Poison Carp olarak da bilinir)
- TA413 / Beyaz Dev 9 (diğer adıyla LuckyCat)
Burada hedefler, tehdit aktörleri tarafından Gmail ve Outlook e-postaları aracılığıyla birden fazla kötü amaçlı dalgada avlandı.
Bu e-posta, gerçekte kötü niyetli bir web sitesine bağlantı eklemek ve bu siteye bağlantı göndermek için sahte bir medya kuruluşu olan otantik bir haber medya kuruluşu “Avustralya Sabah Haberleri”nin çalışanı gibi davranan bir kişi tarafından gönderildi.
Ancak, daha yasal hale getirmek için, siteye içerik oluşturmak amacıyla birkaç meşru haber portalı kopyalandı ve siteye yapıştırıldı.
Her durumda aynı web sayfasına ve kötü niyetli yüke yol açmasına rağmen, URL’ler her hedef için ayrı ayrı benzersiz değerler içeriyordu.
ScanBox çerçevesinin bir kopyası, sahte web sitesinin ziyaretçilerine JavaScript yürütmesi ve kendi taramalarını gerçekleştirebilecekleri bir hazırlama modülü yükleme süreci aracılığıyla sunuldu.
Modüller
ScanBox çerçevesi aşağıdaki modüllerden oluşur: –
- tuş kaydedici
- Tarayıcı eklentileri
- tarayıcı parmak izi
- akran bağlantısı
- Güvenlik kontrolü
Kurbanın makinesi çerçeve ile kurulur kurulmaz ve seçilen eklentiler kurulur kurulmaz, saldırı başlayabilir. Sonuç olarak, C2 iletişimi kurulur ve kurban hakkında aşağıdaki bilgiler sistem üzerinden gönderilir: –
- Profil verileri
- Teknik detaylar
- Keşif için faydalı bilgiler
- Temel casusluk için faydalı bilgiler
APT40, ABD Adalet Bakanlığı’nın bu saldırı geçmişine dayanarak Temmuz 2021’de APT40 üyelerini suçlaması için yeterli zamana yayılan bir saldırı geçmişine sahip bir tehdit aktörü.
Bu tehdit aktörü tarafından hedef alınan kuruluşlar arasında Güney Çin Denizi’ndeki enerji arama endüstrisi ile Avustralya’daki savunma ve sağlık kuruluşları yer alıyor.
Güvenli Azure AD Koşullu Erişimi – Ücretsiz Teknik Belgeyi İndirin