Yakın zamanda yapılan bir gelişmede, ABD Adalet Bakanlığı, Çinli Yüklenici I-Soon çalışanlarına karşı bir iddianame ortaya çıkardı ve birçok küresel casusluk operasyonuna katılımlarını ortaya koydu.
Bu operasyonlar, I-Soon’un operasyonel kolu olduğuna inanılan Fishmonger APT grubuna atfedilir.
Earth Lusca, Tag-22, Su Panda veya Red Dev 10 olarak da bilinen grup, Hükümetleri, STK’ları hedefleyen bir dizi sofistike siber saldırıya ve Asya, Avrupa ve Amerika Birleşik Devletleri’nde düşünce kuruluşlarına bağlanmıştır.
Fishmedley Operasyonu: Küresel Casusluk Kampanyası
2022’de tanımlanan bir kampanya olan Fishmedley Operasyonu, yedi kuruluşun uzlaşmasını içeriyordu.
Saldırganlar, Çin uyumlu tehdit aktörleri tarafından yaygın olarak kullanılan Shadowpad, Sodamaster ve Spyder gibi implantlar kullandı.
Modüler bir arka kapı olan Shadowpad, Scatterbee ambalajı ile birlikte kullanılırken, modüler bir implant olan Spyder birkaç kurban bölgesinde tespit edildi.
Başlangıçta APT10 ile ilişkili bir arka kapı olan Sodamaster da tanımlandı, bu da Çin’e uyumlu birden fazla grup arasında potansiyel paylaşım gösterdi.
Kampanya sırasında saldırganlar, genellikle tehlikeye atılan etki alanı yöneticisi kimlik bilgilerini kullanarak hedeflenen ağlar içinde ayrıcalıklı erişim elde ettiler.
Bir kurban sitesinde, bir yönetici konsolu aracılığıyla implantlar kullandılar, bir diğerinde kötü amaçlı yazılımları teslim etmek ve yanal olarak taşımak için ithal kullandılar.
Saldırganlar, gibi araçları kullanarak manuel keşif yaptı quser.exe Ve wmic.exeve kimlik bilgileri elde etmek için LSASS işlemini attılar.
Rapora göre, kayıt kovanlarını ek sırlar çıkarmak için de kaydettiler.
Fishmonger tarafından kullanılan araç seti, Shadowpad, Spyder, Cobalt Strike, Funnyswitch, Sprysocks ve Biopass Rat’ı içerir.
ShadowPad, Windows Media Player veya Svchost.exe’ye enjekte edecek şekilde yapılandırıldı, Spyder ise AES-CBC şifrelemesini sert kodlanmış bir anahtarla kullandı.
Sodamaster Loaders, DLL yan yükleme yoluyla meşru yürütülebilir ürünleri istismar etti ve bazı durumlarda Firefox için bir şifre stealer uyguladı.
Yasal ve teknik çıkarımlar
ABD Adalet Bakanlığı tarafından yapılan iddianame, bu casusluk faaliyetlerine önemli bir yasal yanıt vermektedir.
Teknik olarak, kampanya, sulama deliği saldırılarının kullanımı ve kara-out ikili dosyaları da dahil olmak üzere balıkçı tarafından kullanılan sofistike taktikleri vurgulamaktadır.
Grubun farklı isimler altında çalışma ve araç setini uyarlama yeteneği, Çin uyumlu aktörlerden siber tehditlerin gelişen doğasının altını çiziyor.
Siber güvenlik dünya çapında hükümetler ve kuruluşlar için kritik bir endişe olmaya devam ettikçe, bu operasyonları anlamak etkili savunma stratejileri geliştirmek için çok önemlidir.
Gerçek dünyadaki kötü niyetli bağlantıları ve kimlik avı saldırılarını araştırın Tehdit İstihbarat Arama – Ücretsiz dene