Recorded Future’ın Insikt Group’u tarafından, Çin devlet destekli bir tehdit aktörü grubu olan RedGolf’un, ağlara sızmak için KEYPLUG adlı özellikle Windows ve Linux sistemleri için tasarlanmış bir arka kapı kullandığı bildirildi.
Dünyanın en üretken tehdit gruplarından biri olan RedGolf, uzun yıllardır dünya çapında çeşitli sektörlere karşı aktiftir.
RedGolf Altyapısı ve TTP’ler
Bu grubun yıllar boyunca çeşitli özel kötü amaçlı yazılım aileleri geliştirmesi ve kullanması geçmişi vardır. Yeni bildirilen güvenlik açıklarını hızlı bir şekilde silah haline getirme becerisini göstermiştir.
Aşağıda, bu grup tarafından kullanılan yakın zamanda bildirilen kötü amaçlı yazılım ailelerinden bahsetmiştik: –
Öncelikle RedGolf tarafından hedeflenen sektörler ve kuruluşlar şunlardır: –
- Havacılık
- Otomotiv
- Eğitim
- Devlet
- medya
- Bilgi Teknolojisi
- Dini kuruluşlar
Bunun dışında, RedGolf tehdit grubunun internete bakan cihazlara ilk erişimi elde etmek amacıyla tarihsel olarak istismar ettiği bir dizi genel ve sıfır gün kusurları vardır, örneğin:-
KEYPLUG Kötü Amaçlı Yazılım
2021 ve 2022 boyunca RedGolf, özel ve modüler bir Linux arka kapısı olan KEYPLUG’u kullanarak ABD eyalet hükümeti kurumlarını hedef aldı.
RedGolf’ün en az 2021’den 2023’e kadar kullandığı birkaç KEYPLUG örneği ve altyapısı Insikt Group tarafından belirlendi.
RedGolf, ABD’de en az altı eyalet hükümetinin güvenliğini tehlikeye atan bir kampanyada, Mayıs 2021 ile Şubat 2022 arasında, ilk kez Mart 2022’de Google’a ait Manidant tarafından ifşa edilen KEYPLUG platformunu yoğun bir şekilde kullandı.
KEYPLUG C2, aşağıdakiler dahil toplam 5 ağ protokolünü destekler:-
Teknik Analiz
Ekim 2022’de Malwarebytes, o yılın Ağustos ayının başlarında Sri Lanka’daki devlet kurumlarında KEYPLUG kullanmak için DBoxAgent adlı keşfedilmemiş bir implanttan yararlanan ayrı bir dizi saldırı hakkında bilgi yayınladı.
Recorded Future’ın belirttiği gibi, bu kampanyalar RedGolf’un Winnti’ye (APT41, Barium, Bronze Atlas veya Wicked Panda olarak da bilinir) atfedilen kampanyasıyla çok yakın bir bağlantı paylaşıyor gibi görünüyor.
Güvenlik analistlerine göre, en son RedGolf etkinliği henüz herhangi bir özel mağduriyetle ilişkilendirilmedi.
Bu eylem ile daha önce bildirilen siber casusluk kampanyaları arasındaki örtüşmeler nedeniyle, bu faaliyetlerin mali kazanç veya kar yerine istihbarat amaçlı yürütülebileceğine inanıyorlar.
Ayrıca hack grubunun KEYPLUG örnekleri ve GhostWolf kod adlı operasyonel altyapısına ek olarak Cobalt Strike ve PlugX gibi başka araçlar da kullandığı kaydedildi.
42 IP adresi GhostWolf altyapısını oluşturur ve KEYPLUG sistemi için komutlar ve kontroller olarak kullanılır.
Hedeflerin ağlarına ilk erişimi elde etmek için RedGolf, dışarıya dönük kurumsal cihazlarda güvenlik açıklarından hızla yararlanmasına ve bu güvenlik açıklarını hızla silah haline getirmesine izin verecek operasyonel tempoyu göstermeye devam edecektir.
Öneri
RedGolf saldırılarına karşı savunma yapmak için kuruluşların aşağıda belirttiğimiz uzmanlar tarafından önerilen hafifletme önlemlerini izlemesi gerekir:-
- Yamaların düzenli olarak uygulandığından emin olun.
- Kuruluşun dışındaki ağlara bağlı cihazlara erişimi kontrol edin.
- Tehdit aktörleri tarafından kullanılan komuta ve kontrol altyapısını belirleyin ve engelleyin.
- Kötü amaçlı yazılımları izlemek için izinsiz giriş algılama ve önleme sistemlerinin kötü amaçlı yazılımları algılayacak şekilde yapılandırılması gerekir.
API’lerinizi güvence altına almak için arama mı yapıyorsunuz? – Ücretsiz API Sızma Testini Deneyin
İlgili Okuma: