Palo Alto Networks’ün PAN-OS güvenlik duvarı yazılımında (CVE-2024-0012) bir güvenlik açığından yararlanan yakın tarihli bir fidye yazılımı saldırısı, siber güvenlik topluluğu içinde önemli endişeler yarattı.
2024’ün sonlarında Güney Asya’da orta ölçekli bir yazılım ve hizmet şirketini hedefleyen saldırı, özellikle Çin merkezli casusluk gruplarıyla ilişkili araçlar kullandığı için endişe vericidir.
Bu, bu araçların devlet destekli siber-karşıt kampanyalarında tipik kullanımından önemli bir ayrılışa işaret ediyor.
Casusluk Araçları siber suçlara geçiş
Saldırı, Çin merkezli casusluk tehdit aktörlerine bağlı farklı bir araç seti kullandı.
Tarihsel olarak, bu araç seti hükümet, telekom ve kritik altyapı organizasyonlarında kalıcı erişim ve istihbarat toplantısını amaçlayan operasyonlara özeldir.
Bu araçlar arasında, şifrelenmiş dizeler, dinamik API çözünürlüğü ve kontrol akışı düzleştirilmesi de dahil olmak üzere gelişmiş yetenekleri ile bilinen Plugx kötü amaçlı yazılımlarının bir varyantı bulunmaktadır.
Plugx, meşru bir Toshiba yürütülebilir dosyası (“toshdpdb.exe”) kullanılarak kötü amaçlı bir DLL, “toshdpapi.dll” yan yüklenerek dağıtıldı.
Kötü amaçlı yazılım daha sonra, 2024’ten 2025 yılının başlarına kadar casusluk kampanyalarında gözlenen yansıtma taktikleri olan “Toshdp.dat” adlı bir dosyadan bir yükü çözdü ve yürüttü.
Bu kampanyalar Güneydoğu Asya Hükümeti Bakanlıkları ve Telekom Operatörleri gibi kuruluşları hedef aldı.
Fidye Yazılımı Saldırı Detayları
Kasım 2024 olayında, saldırganlar Palo Alto’nun PAN-OS yazılımında bilinen bir kırılganlık olan CVE-2024-0012’den yararlanarak kurbanın ağını tehlikeye attığını iddia etti.
Symantec raporuna göre, idari erişim elde ettikten sonra saldırganlar, RA World fidye yazılımlarını dağıtmadan önce verileri dışarı atmak için Amazon S3 kimlik bilgilerini şirketin Veeam sunucusundan çaldı.
Mağdurun ağındaki sistemler şifrelendi ve saldırgan 2 milyon dolarlık bir fidye istedi ve hızlı ödeme için tutarı 1 milyon dolara düşürdü.
Bu gasp denemesi, açık finansal güdülerden kaçınan önceki casusluk bağlantılı kampanyalardan saptı.
Casusluk araçlarının bir fidye yazılımı kampanyasına katılımı, aktörün nedenleri hakkında spekülasyonlara yol açtı. Üç ana teori ortaya çıktı:
- Çift amaçlı operasyonlar: Muhtemelen ay ışığı olan saldırgan, kuruluşlarının casusluk araçlarını kişisel finansal kazanç için kötüye kullanmış olabilir.
- Kapsama Stratejisi: Fidye yazılımı, müdahalenin kanıtlarını belirlemek için konuşlandırılmış olabilir. Ancak, fidye yazılımı casusluk eserlerini maskelemedi ve hedeflenen kuruluş stratejik olarak anlamlı değildi.
- Melez taktikler: Çin bağlantılı gruplar için olağandışı olmasına rağmen, bazı araştırmacılar, devlet faaliyetini desteklemek için gelir üretimi için fidye yazılımlarının kullanıldığı Kuzey Kore’nin operasyonlarına benzerlikler kaydetti.
Bu saldırı, casusluk yeteneklerinin finansal olarak motive olmuş siber suçlarla giderek bulanıklaştığı gelişen tehdit manzarasının altını çiziyor.
Sofistike araçların yeniden kullanılması, özellikle ulus devletler ve suç faaliyetleri arasındaki geleneksel sınırlar aşınmaya devam ettikçe, savunucular için önemli bir zorluk oluşturmaktadır.
Kuruluşlar, CVE-2024-0012 gibi kritik güvenlik açıklarını derhal yamalayacak, kimlik bilgisi hırsızlığına karşı güçlü savunmalar sağlamaya ve gelişmiş tehditleri tespit etmek için proaktif izleme almaya istenmektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free