RedHotel Chinese APT Hacker’ları Devlet Kuruluşlarına Saldırdı


Çin devleti destekli bir tehdit grubu olan RedHotel (TAG-22), ısrarı, önemi, operasyonel yoğunluğu ve küresel erişimiyle tanınmaktadır. RedHotel’in Kuzey Amerika Asya’da ve 2021 ile 2023 arasında 17’den fazla ülke üzerinde hareket ettiği bildiriliyor.

Bu tehdit grubu, özellikle Güneydoğu Asya hükümetindeki kuruluşlara ve özel şirketlerin belirli sektörlerine yönelik bir tehdit oluşturmaktadır.

Operasyonel altyapılarının Çin ile bağlantılı olduğu izleniyor. Devlet Güvenlik Bakanlığı (MSS) müteahhit grupları RedHotel’in ana odak noktası istihbarat toplama ve siber casusluktur.

RedHotel Altyapısı

RedHotel’in, komuta ve kontrol sunucuları aracılığıyla keşif ve uzun vadeli ağ erişimine dar bir şekilde odaklanan çok katmanlı bir altyapı kullandığı tespit edildi. Bu kötü amaçlı yazılım C2 sunucularının Çin, Chengdu’dan yönetildiği bulundu.

RedHotel C2 altyapısı (Kaynak: Insikt)

Buna ek olarak tehdit grubu, Çin devleti destekli diğer aktörlerle birlikte Shadowpad ve Winnti kötü amaçlı yazılımlarının istismarına da karıştı.

RedHotel, 80, 443, 8443 ve 8080 bağlantı noktalarıyla yapılandırılmış C2 sunucuları için ters proxy olarak büyük miktarlarda Sanal Özel Sunucular (VPS) kullanır.

Aletleri Spyder, Cobalt Strike, ShadowPad ve PlugX’i içerir. RedHotel ayrıca gelişmiş bir kırmızı takım simülasyonu ve düşmanlık aracı olan Brute Ratel’i kullandı.

Bu tehdit aktörleri, kuruluşun iletişiminin RedHotel’e atfedilen C2 sunucuları ShadowPad ve Cobalt Strike’a yönlendirilmesiyle keşfedilen Haziran 2022’de ABD Eyaleti yasama organı uzlaşmasından da sorumluydu.

Ayrıca tehdit grubu, birkaç devlet kuruluşunu hedef alan Zimbra Collaboration Suite istismarının da bir parçasıydı. Bu saldırı, aşağıdakiler gibi birkaç RedHotel alt alan adıyla bağlantılıydı:

  • bwlgrafana.itcom888[.]canlı
  • 8wz3l0m58f.symantecupd[.]iletişim
  • qbxlwr4nkq.itcom666[.]canlı
  • Fyalluw0.sibersystems[.]xyz

Recorded Future tarafından, bu tehdit grubu hakkında tekniklerinden, taktiklerinden ve diğer ayrıntılı bilgilerden bahseden eksiksiz bir rapor yayınlandı.

Uzlaşma Göstergeleri

Kobalt Darbeli Yükleyiciler

5cba27d29c89caf0c8a8d28b42a8f977f86c92c803d1e2c7386d60c0d864128548e81b1c5cc0005cc58b99cefe1b6087c841e952bb06db5a5a6441e92e40bed625da610be6acecfd71bbe3a4e88c09f31ad07bdd252eb30feeef9debd9667c51233bb85dbeba69231533408501697695a66b7790e751925231d64bddf80bbf91 aeceaa7a806468766923a00e8c4eb48349f10d069464b53674eeb150e0a59123 

Brute Ratel Yükleyiciler

6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef166f31a4656afb8d9245b5b2f5a634ddfbdb9db3ca565d2c52aee6554ede068d1 c00991cfeafc055447d7553a14be2303e105b6a97ab35ecf820b9dbd42826f9d 

Winnti

5861584bb7fa46373c1b1f83b1e066a3d82e9c10ce87539ee1633ef0f567e74369ff2f88c1f9007b80d591e9655cc61eaa4709ccd8b3aa6ec15e3aa46b9098bd2f1321c6cf0bc3cf955e86692bfc4ba836f5580c8b1469ce35aa250c97f0076ef1dcf623a8f8f4b26fe54fb17c8597d6cc3f7066789daf47a5f1179bd7f7001a 

örümcek

7a61708f391a667c8bb91fcfd7392a328986059563d972960f8237a69e375d505d3a6f5bd0a72ee653c6bdad68275df730b836d6f9325ee57ec32997d5dcef1ded9878f8680e1d91354cbb5ad8a6960efd6ddca2da157eb4c1ef0f0430fd5fe053ca5888fb0d5099efed76e68a1af0020aaaa34ca610e7a1ac0ae9ffe36f6e 24d4089f74672bc00c897a74664287fe14d63a9b78a8fe2bdbbf9b870b40d85c

Komik Anahtar

7056e9b69cc2fbc79ba7a492906bcc84dabc6ea95383dff3844dfde5278d9c7aede0c1f0d6c3d982f63abbdd5f10648948a44e5fa0d948a89244a06abaf2ecfe 9eb0124d822d6b0fab6572b2a4445546e8029ad6bd490725015d49755b5845a4

Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.





Source link