Bilgisayar korsanları, geniş saldırı yüzeyleri ve yaygın güvenlik açıklarının varlığı nedeniyle sıklıkla bulut hizmetlerini hedef alıyor.
Sadece bu değil, çeşitli sektörlerde bulut altyapısına artan bağımlılık bile başarılı saldırıların olası etkisini artırıyor.
ESET’teki siber güvenlik araştırmacıları yakın zamanda Evasive Panda’nın yeni araç setini kullanarak verileri çalmak için Bulut hizmetlerine aktif olarak saldırdığını keşfetti.
Evasive Panda (namı diğer “BRONZE HIGHLAND”, “Daggerfly”, “StormBamboo”) 2012’den bu yana siber casusluk operasyonları yürüten gelişmiş bir Çinli APT grubudur. Bu grup öncelikle Çin’in çıkarlarına direnen kuruluşları hedef alıyor.
Strategies to Defend Websites & APIs from Malware Attack -> Free Webinar
Kaçınma Panda Bulut Hizmetlerine Saldırıyor
Operasyonları birden fazla kuruluşa ve ülkeye yayılıyor: –
- Tibet diasporası
- Tayvanlı dini kurumlar
- Tayvanlı akademik kurumlar
- Hong Kong kuruluşları
- Çin’deki demokrasi yanlısı savunucular
Ülkeler şunlardır: –
- Vietnam
- Myanmar
- Güney Kore
Grubun teknik cephaneliği, “Tedarik zinciri ihlalleri”, “Sulama deliği saldırıları” ve “DNS ele geçirme” gibi gelişmiş saldırı metodolojilerini içeriyor.
Kötü amaçlı yazılım geliştirme yetenekleri, aşağıdakiler gibi çeşitli araçlar aracılığıyla gösterilmektedir: –
- MgBot (özelleştirilebilir bir kötü amaçlı yazılım çerçevesi)
- Nightdoor (Kontrol ve Kontrol iletişimi için bulut hizmetlerini kullanan gelişmiş bir arka kapı)
- CloudScout (.NET tabanlı bir çerçeve)
Bunun yanı sıra “CloudScout”, “kimliği doğrulanmış web oturumu çerezlerini” çalarak bulut hizmetlerinden (Google Drive, Gmail ve Outlook) ödün vermek için tasarlanmış özel modüller (‘CGD,’ ‘CGM’ ve ‘COL’) içermesi nedeniyle dikkat çekicidir. .” ESET raporuna göre bu, tehdit aktörlerinin “2FA” ve “IP tabanlı” güvenlik önlemlerini etkili bir şekilde atlamasına olanak tanıyor.
.webp)
Grup aynı zamanda çeşitli web sunucusu uygulamalarında ve popüler platformlarda (“Microsoft Office ve Confluence”) CVE’lerden aktif olarak yararlanmaktadır.
Burada bunu “Windows”, “macOS” ve “Android” genelinde “platformlar arası uyumluluğu” koruyarak yapıyorlar. CloudScout araç setinin temel işlevi “çerezleri ilet” tekniği etrafında döner.
.webp)
Bu tekniği kullanarak, “X-OWA-CANARY” (Outlook Web Erişimi için), “RPSSecAuth” ve “ClientId” gibi kimlik doğrulama çerezlerini yakalayarak yetkisiz erişimi korur.
Veri toplama için modüller, “e-posta başlıkları”, “mesaj gövdeleri”, “ekler” ve “belgeler” (aşağıdaki ‘.doc uzantılarıyla) gibi çeşitli içerik türlerini sistematik olarak çıkarmak için “sabit kodlanmış web istekleri” ve “HTML ayrıştırıcıları” kullanır. ,’ ‘.docx,’ ‘.xls,’ ‘.xlsx,’ ‘.ppt,’ ‘.pptx,’ ‘.pdf,’ ve ‘.txt’).
Çıkarılan her öğe, özel bir meta veri başlığıyla (istemci kimliği, konu/dosya adı ve kullanıcı adı bilgilerini içeren) işlenir, ardından “RC4 şifrelemesi” kullanılarak şifrelenir ve isteğe bağlı bir GUID dosya adı ve özel uzantıyla saklanır.
Bu öğeler daha sonra “.hxkz_zip” uzantılı bir ZIP arşivine sıkıştırılır ve veri yolu yapılandırma alanı tarafından belirtilen belirlenmiş bir sızma dizinine yerleştirilir.
Tüm süreç, sızıntı dosyaları dışındaki tüm operasyonel yapıtları ortadan kaldıran bir temizleme aşamasıyla sona erer.
Bundan sonra sistem ya sonlanır ya da “dealone” bayrak ayarına göre yeni konfigürasyon dosyalarını bekler. Bu, son veri sızıntısı için “MgBot” veya “Nightdoor” ile yapılır.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!