Çin bağlantılı iki gelişmiş kalıcı tehdit (APT) grubunun, son üç aydaki siber casusluk kampanyasının bir parçası olarak Güneydoğu Asya Ülkeleri Birliği'ne (ASEAN) bağlı kuruluşları ve üye ülkeleri hedef aldığı gözlemlendi.
Buna, yakın zamanda Myanmar'a ve diğer Asya ülkelerine yönelik siber saldırılarla bağlantılı olan ve DOPLUGS adı verilen PlugX (diğer adıyla Korplug) arka kapısının bir çeşidiyle ilişkilendirilen Mustang Panda olarak bilinen tehdit aktörü de dahildir.
Camaro Dragon, Earth Preta ve Stately Taurus olarak da adlandırılan Mustang Panda'nın Myanmar, Filipinler, Japonya ve Singapur'daki varlıkları iki kötü amaçlı yazılım paketi sunmak üzere tasarlanmış kimlik avı e-postalarıyla hedef aldığına inanılıyor.
Palo Alto Networks Birim 42, The Hacker News ile paylaşılan bir raporda “Tehdit aktörleri, ASEAN-Avustralya Özel Zirvesi'ne (4-6 Mart 2024) denk gelecek şekilde 4-5 Mart 2024'te bu paketler için kötü amaçlı yazılım oluşturdu” dedi.
Kötü amaçlı yazılım paketlerinden biri, içinde yürütülebilir bir dosya (“Talking_Points_for_China.exe”) içeren bir ZIP dosyasıdır; başlatıldığında bir DLL dosyası (“KeyScramblerIE.dll”) yükler ve sonuçta PUBLOAD adı verilen bilinen bir Mustang Panda kötü amaçlı yazılımını dağıtır. Daha önce PlugX'i bırakmak için kullanılan indirici.
Burada ikili dosyanın KeyScrambler.exe adı verilen ve DLL tarafından yüklemeye açık meşru bir yazılımın yeniden adlandırılmış bir kopyası olduğunu belirtmekte fayda var.
Öte yandan ikinci paket, WindowsUpdate olarak yeniden adlandırılan bir video oyun şirketi tarafından imzalanan zararsız bir program da dahil olmak üzere uzak bir IP adresinden sonraki aşamadaki kötü amaçlı kodu almak için kullanılan çalıştırılabilir bir ekran koruyucudur (“Note PSO.scr”). exe ve daha önce olduğu gibi aynı teknik kullanılarak başlatılan sahte bir DLL.
“Bu kötü amaçlı yazılım daha sonra www ile bağlantı kurmaya çalışıyor[.]açıksunucuadı[.]146.70.149 adresinden iletişim kurun[.]Araştırmacılar, komuta ve kontrol için 36 (C2) dedi.
Birim 42, ASEAN'a bağlı bir kuruluş ile ikinci bir Çinli APT grubunun C2 altyapısı arasındaki ağ trafiğini de tespit ettiğini ve bunun kurbanın ortamının ihlal edildiğini öne sürdüğünü söyledi. Bu isimsiz tehdit faaliyeti kümesi, Kamboçya'yı hedef alan benzer saldırılarla ilişkilendiriliyor.
Araştırmacılar, “Bu tür kampanyalar, ulus devlete bağlı tehdit gruplarının bölgedeki jeopolitik çıkarlara ilişkin istihbarat topladığı kuruluşların siber casusluk amacıyla nasıl hedef alındığını göstermeye devam ediyor” dedi.
Earth Krahang Vahşi Doğada Ortaya Çıkıyor
Bulgular, Trend Micro'nun, PlugX gibi özel kötü amaçlı yazılımlar sunmak için hedef odaklı kimlik avı ve halka açık Openfire ve Oracle sunucularındaki kusurlardan yararlanarak 35 ülkeye yayılan 116 kuruluşu hedef alan Earth Krahang olarak bilinen yeni bir Çinli tehdit aktörüne ışık tutmasından bir hafta sonra geldi. , ShadowPad, ReShell ve DinodasRAT (diğer adıyla XDealer).
En eski saldırılar 2022'nin başlarına kadar uzanıyor; saldırgan, hassas verileri taramak için çeşitli yöntemlerden yararlanıyor.
Güneydoğu Asya'ya güçlü bir şekilde odaklanan Earth Krahang, aynı zamanda Earth Lusca (diğer adıyla RedHotel) olarak takip edilen Çin bağlantılı başka bir tehdit aktörüyle de bir miktar örtüşme sergiliyor. Her iki izinsiz giriş seti de muhtemelen aynı tehdit aktörü tarafından yönetiliyor ve I-Soon adlı bir Çin hükümeti yüklenicisine bağlı.
“Tehdit aktörlerinin en sevdiği taktiklerden biri, diğer devlet kurumlarına saldırmak için devlet altyapısına kötü niyetli erişimini kullanmak, kötü amaçlı yükleri barındırmak için altyapıyı kötüye kullanmak, proxy saldırı trafiği ve güvenliği ihlal edilmiş devlet e-posta hesaplarını kullanarak devletle ilgili hedeflere hedef odaklı kimlik avı e-postaları göndermektir. ” dedi şirket.
“Earth Krahang ayrıca kurbanların özel ağına erişim sağlamak için halka açık sunucularda VPN sunucuları oluşturmak ve e-posta kimlik bilgilerini elde etmek için kaba kuvvet saldırıları gerçekleştirmek gibi başka taktikler de kullanıyor. Bu kimlik bilgileri daha sonra kurban e-postalarını sızdırmak için kullanılıyor.”
I-Soon Sızıntıları ve Gölgeli Kiralık Hack Sahnesi
Geçtiğimiz ay, GitHub'da I-Soon'dan (diğer adıyla Anxun) sızdırılan bir dizi belge, şirketin ShadowPad ve Winnti (diğer adıyla TreadStone) gibi çok çeşitli hırsızları ve uzaktan erişim truva atlarını birden fazla Çin devlet kuruluşuna nasıl sattığını ortaya çıkardı. Bu aynı zamanda saldırgan siber kampanyaları yürütmek için tasarlanmış entegre bir operasyon platformunu ve Hector kod adlı belgelenmemiş bir Linux implantını da kapsıyor.
Bishop Fox, “Entegre operasyon platformu hem iç hem de dış uygulamaları ve ağları kapsıyor” dedi. “Dahili uygulama esas olarak görev ve kaynak yönetimine yöneliktir. Harici uygulama ise siber operasyonları yürütmek için tasarlanmıştır.”
Bu gizemli kiralık korsan varlığı, Tibetli grupları hedef alan 2019 ZEHİRLİ SARP kampanyasına ve Comm100'ün 2022 hacklenmesine, ayrıca değerli bilgiler elde etmek için yabancı hükümetleri ve yerel etnik azınlıkları hedef alan saldırılara da dahil edildi. Bir devlet müşterisi bulma umuduyla bağımsız olarak kendi başlarına yola çıktılar.
ReliaQuest, “Veri sızıntısı, Çin hükümetinin siber operasyonlarının bir kısmını özel üçüncü taraf şirketlere nasıl yaptırdığına ve bu şirketlerin bu talepleri yerine getirmek için birbirleriyle nasıl çalıştığına dair nadir bilgiler sağladı.” dedi.
Siber güvenlik firması Recorded Future, kendi analizinde, sızıntının şirket ile RedAlpha (aka Deepcliff), RedHotel ve POISON CARP gibi Çin devleti destekli üç farklı siber grup arasındaki “operasyonel ve organizasyonel bağları” ortaya çıkardığını söyledi.
“Çin devletinin desteklediği birden fazla gruba yetenek sağlayan 'dijital malzeme sorumlularının' uzun süredir şüphelenilen varlığına ilişkin destekleyici kanıtlar sağlıyor.”
Ayrıca örtüşmelerin, aynı şirket içinde belirli görevlere odaklanan birden fazla alt ekibin varlığına işaret ettiği belirtildi. I-Soon'un mağduriyet ayak izi en az 22 ülkeye yayılıyor; hükümet, telekomünikasyon ve eğitim en çok hedeflenen sektörleri temsil ediyor.
Ayrıca, kamuya açıklanan belgeler, Çin'in Pwn2Own hackleme yarışmasına katılımı olan Tianfu Cup'ın hükümet için bir “zafiyet besleyici sistemi” görevi gördüğünü ve hükümetin sıfır gün açıklarından yararlanmasını stoklamasına ve yararlanma kodu tasarlamasına olanak tanıdığını doğruluyor.
Margin Research, “Tianfu Kupası gönderimleri halihazırda tam bir yararlanma zinciri olmadığında, Kamu Güvenliği Bakanlığı, bu kavram kanıtlama yeteneklerinden daha fazla yararlanmak için kavram kanıtını özel firmalara açık olarak dağıtıyor” dedi.
“Çin'in güvenlik açığını açıklama gerekliliği, Çin'in güvenlik açıklarını nasıl stokladığı ve silah haline getirdiğine ilişkin bulmacanın bir parçası ve Tianfu Cup'ın önceki yıllarda sunduğu gizli koleksiyonu sağlamlaştırıyor.”
I-Soon'un iki çalışanı Associated Press'e kolluk kuvvetleriyle işbirliği içinde bir soruşturmanın devam ettiğini söylemesine rağmen sızıntının kaynağı şu anda bilinmiyor. Şirketin web sitesi o zamandan beri çevrimdışı.
SentinelOne'dan Dakota Cary ve Aleksandar Milenkoski, “Sızıntı bugüne kadar kamuya açık olarak görülen en somut ayrıntılardan bazılarını sunarak Çin'in siber casusluk ekosisteminin olgunlaşan doğasını ortaya koyuyor” dedi. “Hükümetin hedefleme gereksinimlerinin, bağımsız yüklenici kiralık bilgisayar korsanlarından oluşan rekabetçi bir pazarı nasıl yönlendirdiğini açıkça gösteriyor.”