ESET’teki araştırmacılar kısa süre önce kötü şöhretli APT grubu Evasive Panda ile bağlantılı yeni bir siber saldırı kampanyasını ortaya çıkardı.
Araştırmacılara göre, Evasive Panda’nın kötü niyetli kampanyası, kötü şöhretli arka kapı MgBot kötü amaçlı yazılımını masum kurbanlara ulaştırmak için meşru Çin uygulamalarının güncelleme kanallarını kullanıyor.
“Ocak 2022’de, güncellemeleri gerçekleştirirken yasal bir Çin uygulamasının Evasive Panda MgBot arka kapısı için bir yükleyici aldığını keşfettik. ESET araştırmacısı Facundo Muñoz, araştırmamız sırasında kötü amaçlı etkinliğin 2020’ye kadar gittiğini keşfettik.
“Çinli kullanıcılar, ESET telemetrisinin 2020’de başlayıp 2021 boyunca devam ettiğini gösterdiği bu kötü amaçlı etkinliğin odak noktasıydı.”
ESET’in Evasive Panda’nın kötü amaçlı kampanyasına ilişkin derinlemesine analizi, failin Evasive Panda olduğunu kendinden emin bir şekilde belirlemelerine yol açtı.
Evasive Panda (BRONZE HIGHLAND ve Daggerfly olarak da bilinir), en az 2012’den bu yana birçok ülkede bireyleri ve devlet kurumlarını aktif olarak hedefleyen Çince konuşan bir APT grubudur.
Önceki hedefleri arasında Çin, Makao, Nijerya ve Güneydoğu ve Doğu Asya ülkeleri yer alıyor.
Kaçamak Panda’nın kötü niyetli kampanyası
ESET’in araştırma ekibi, 2020’de başlayan ve 2021 boyunca devam eden, açıkça Çinli kullanıcıları hedef alan bir dizi hedefli siber saldırıyı ortaya çıkardı.
En son Evasive Panda’nın kötü niyetli kampanyası, çoğunlukla Çin’in Gansu, Guangdong ve Jiangsu eyaletlerinde yoğunlaştı ve bu eyaletlerin ikisinde faaliyet gösteren uluslararası bir STK’nın üyelerine odaklandı.
ESET’in verileri ayrıca Nijerya’da en az bir kurbanı daha ortaya çıkardı ve bu, saldırılardan sorumlu grubun erişimini Çin’in ötesine genişletmekle ilgilendiğini gösteriyor.
Evasive Panda’nın kötü niyetli kampanyasının kesin taktikleri ve güdüleri hâlâ araştırılıyor, ancak ESET’in bulguları, operasyonlarının kapsamı ve ölçeği hakkında değerli bilgiler sağlıyor.
Evasive Panda’nın teknik analizi
Evasive Panda’nın arka kapısı MgBot, güvenlik araştırmacıları tarafından 2014’ten beri biliniyor ve çok az değişikliğe uğradı. Bununla birlikte, modüler mimarisi, arka kapının casusluk yeteneklerini ve genel etkinliğini artırabilecek ek modüller almasına olanak tanır.
ESET araştırmacıları, araştırmaları sırasında yasal yazılım uygulamaları için otomatikleştirilmiş güncellemelerin, meşru gibi görünen URL’lerden ve IP adreslerinden MgBot arka kapı yükleyicilerini indirmek için kullanıldığını keşfettiler.
ESET araştırmacıları, saldırganların meşru güncellemeler yoluyla kötü amaçlı yazılımları nasıl dağıtabileceklerini açıklamak için birkaç olası yöntemi değerlendirdi ve sonuçta iki farklı senaryoya odaklandı: tedarik zincirinin ele geçirilmesi ve ortadaki düşman saldırıları.
Tedarik zinciri güvenliğinin aşılması, saldırganların güncelleme sunucularına erişim elde etmelerini gerektirecek, bu da onların diğer herkese meşru güncellemeleri tam olarak teslim ederken kullanıcıları hedef almalarına olanak tanıyacaktır.
Çince konuşan diğer APT grupları geçmişte bu yöntemi kullanmış olsa da, ESET araştırmacıları, Evasive Panda’nın kötü niyetli kampanyası ve ilgili olanlar hakkında topladıkları sınırlı bilginin bu hipotezi doğrulamayı zorlaştırdığı konusunda uyarıyorlar.
Alternatif olarak, ortadaki düşman senaryosu, saldırganların meşru güncelleme isteklerini yakalayıp hedeflenen kullanıcılara kötü amaçlı yazılım gönderirken hedeflenmeyen kullanıcılara meşru güncellemeler teslim etmesini içerir.
ESET araştırmacıları, bu senaryoyu destekleyecek somut kanıtları olmadığı konusunda da uyarıyorlar.
Evasive Panda kampanyasının bu durumu, sağlam siber güvenlik önlemlerinin alınmasının ve potansiyel tehditlere karşı tetikte olmanın önemini vurguluyor.
APT grupları gelişmeye ve taktiklerini iyileştirmeye devam ettikçe, kuruluşların ve bireylerin bu tür saldırılara karşı korunmalarını sağlamak için en son siber güvenlik trendleri ve en iyi uygulamalarla güncel kalmaları her zamankinden daha önemli.
Benzer şekilde, Symantec kısa bir süre önce Evasive Panda tarafından Afrika telekom servis sağlayıcılarına yönelik kötü niyetli bir kampanyayı işaretledi.
Grubun Orta Doğu, Avrupa ve Afrika’daki belirli sektörlere yönelik bir dizi yüksek hedefli siber saldırıdan sorumlu olduğuna inanılıyor.
En son kampanya, grubun sosyal mühendislik, hedef odaklı kimlik avı ve özel olarak oluşturulmuş kötü amaçlı yazılım kullanımı dahil olmak üzere bir dizi taktik ve teknik kullandığını gördü.
Symantek tarafından hazırlanan bir raporda, “Broadcom Software’in Symantec’teki Tehdit Avcısı Ekibinden araştırmacılar, kurbanın ağındaki MgBot modüler kötü amaçlı yazılım çerçevesiyle ilişkili çok sayıda benzersiz eklenti buldu” dedi.
“Saldırganların ayrıca bir PlugX yükleyici kullandığı ve yasal AnyDesk uzak masaüstü yazılımını kötüye kullandığı görüldü. MgBot modüler kötü amaçlı yazılım çerçevesinin ve PlugX yükleyicinin kullanımı geçmişte Çin bağlantılı APT’lerle ilişkilendirilmişti.”
Daggerfly veya APT39 olarak da bilinen kaçamak pandanın İran hükümeti tarafından desteklendiğine inanılıyor.
Grubun Afrika telekom servis sağlayıcılarına karşı yürüttüğü kampanya, şirketlerin çalışanlarını hedeflemek için LinkedIn ve diğer sosyal medya platformlarında sahte iş ilanlarının kullanılmasını içeriyordu.
Bir kurban belirlendikten sonra Daggerfly, kurbanın sistemine kötü amaçlı yazılım bulaştıracak kötü amaçlı bir ek içeren hedef odaklı kimlik avı e-postası gönderirdi.
Rapora göre, Daggerfly tarafından son kampanyada kullanılan kötü amaçlı yazılım oldukça karmaşık ve tespit edilmesi zor.
Geleneksel antivirüs yazılımı tarafından tespit edilmekten kaçınmak için tasarlanmıştır ve kurbanın sistemindeki etkinliğini gizlemek için bir dizi teknik kullanır. Kötü amaçlı yazılım ayrıca hassas verileri çalabilir ve saldırganlar tarafından kontrol edilen uzak sunuculara sızdırabilir.