Gelişmiş bir kalıcı tehdit (APT), Çin devlet destekli aktörlerin kalabalık bir alanında baskın bir siber casusluk tehdidi olarak öne çıkıyor. RedHotel grubu şimdiye kadar üç kıtada 17 ülkede hükümetlerin peşine düşerek hem istihbarat toplama hem de ekonomik casusluk faaliyetlerini önemli bir altyapı ve bunları destekleyecek araçlar kullanarak yürüttü.
Recorded Future’ın Insikt Group araştırmacılarına göre RedHotel (akaTAG-22 veya Earth Lusca) 2019’dan beri faaliyet gösteriyor, ancak son iki yılda faaliyetlerini gerçekten artırdı ve “sürekliliği, operasyonel yoğunluğu ve küresel erişimi nedeniyle” öne çıktı. bu hafta yayınlanan bir raporda ortaya çıktı.
Grup şimdiden Asya, Avrupa ve Kuzey Amerika’da 17 ülkede saldırılar düzenledi. Müthiş arka uç destek yapısı, biri büyük ölçüde keşif ve ilk erişim operasyonlarına adanmış, ikincisi ise hedeflenen ağlarla uzun vadeli erişimi sürdürmeye ayrılmış iki farklı altyapı kümesinden oluşur.
Grup özellikle Güneydoğu Asya’ya odaklanmış olsa da, 2022’de tehlikeye attığı bir ABD eyalet yasama meclisinin yanı sıra akademi, havacılık, hükümet, medya, telekomünikasyon ve araştırma sektörlerindeki çok sayıda başka hedefi de kurbanları olarak görüyor. Ayrıca COVID-19 araştırmasını, Hong Kong demokrasi yanlısı aktivistleri, dini azınlık gruplarını ve çevrimiçi kumar şirketlerini hedef aldı.
RedHotel’in ayrı bir varlık olarak tanımlanması, önceden tanımlanan ShadowPad ve Winnti arka kapı kötü amaçlı yazılım ailelerini kullanması nedeniyle büyük ölçüde fark edilmedi. Araştırmacılar, Blackfly dahil olmak üzere birden fazla Çinli tehdit grubunun bu araçları kullandığından, RedHotel’in “kümeleme ve ilişkilendirmede zorluklar yaratarak” uyum sağladığını belirtti.
Bununla birlikte, RedHotel’in yüksek operasyonel temposu, farklı altyapı taktikleri, teknikleri ve prosedürleri (TTP’ler) ve hem özel hem de saldırgan güvenlik araçlarının daha geniş kullanımı nedeniyle, grup artık kendi başına Çin destekli baskın bir tehdit olarak farklı bir kimlik geliştirdi. Insikt’e göre, Çin Devlet Güvenlik Bakanlığı’nı desteklemek için Chengdu dışında faaliyet gösteriyor.
Bir Çinli APT’nin Çeşitli Saldırı Stratejisi
RedHotel, birkaç önemli yönüyle karakterize edilir: geniş, iki katmanlı bir destek altyapısı ve hem emtia hem de özel kötü amaçlı yazılım kullanarak kurbanlara saldırdığı sayısız ve çeşitli yollar.
Insikt, raporunda gözlemlenen birkaç saldırıyı belgeledi; RedHotel, geçen yılın sonlarında bir saldırıda Tayvanlı bir oyun şirketine ait çalıntı bir kod imzalama sertifikasını kullanarak Vietnam Devlet Devlet Enstitüsü’nü hedef aldı. Sertifika, Brute Ratel C4 olarak bilinen saldırgan güvenlik aracını yükleyen dinamik bağlantı kitaplığı DLL’sini imzalamak için kullanıldı.
Aynı kampanyada grup, aslen başka bir Vietnam devlet dairesi olan Eğitim ve Öğretim Bakanlığı’na ait olan ve aktörlerin Haziran 2023’e kadar kullanmaya devam ettiği çalıntı bir TLS sertifikası kullandı.
Temmuz 2022’de gözlemlenen diğer tehdit faaliyetinde RedHotel, grup tarafından kontrol edilen ShadowPad ve Cobalt Strike C2 IP adresleriyle iletişim yoluyla birden fazla ülkedeki devlet kuruluşlarında Zimbra işbirliği paketinin kötüye kullanılmasıyla bağlantılıydı.
RedHotel, Winnti ve ShadowPad arka kapılarına ek olarak kampanyalarında FunnySwitch ve Spyder arka kapılarının yanı sıra Microsoft Windows Uyumluluk Sorun Giderici hizmeti kılığına giren özelleştirilmiş bir Cobalt Strike komuta ve kontrol (C2) profilini de kullanıyor.
Altyapı tarafında RedHotel, tehdit grubunun kullandığı birden çok kötü amaçlı yazılım ailesiyle ilişkili C2 trafiği için ters proxy görevi gören büyük miktarlarda sanal özel sunucu sağlar. Bu sunucular tipik olarak standart HTTP(S) bağlantı noktalarını dinleyecek ve trafiği, açık kaynaklı VPN yazılımı SoftEther kullanılarak yönetilen yukarı akış aktör kontrollü sunuculara yönlendirecek şekilde yapılandırılır.
Insikt’e göre bu altyapı, uzun vadeli izinsiz giriş faaliyetlerini yönetirken, ilk erişim operasyonları ve keşif için “ayrı, daha gürültülü bir altyapı kümesi” kullanılıyor.
RedHotel Saldırılarına Karşı Savunma
Rapor, kuruluşların kendilerini RedHotel saldırılarına karşı savunmaları için bir dizi stratejinin yanı sıra, kuruluşlara ağlarını ve trafiğini analiz etmek için kullanmalarını önerdikleri kapsamlı bir uzlaşma göstergeleri (IoC’ler) listesi sunuyor.
Insikt’in diğer önerileri arasında, raporda muhtemelen RedHotel tarafından kontrol edildiği belirtilen harici IP adresleri ve etki alanları için uyarılar sağlamak üzere izinsiz giriş tespit sistemlerinin, saldırı önleme sistemlerinin veya herhangi bir ağ savunma mekanizmasının yapılandırılması, ardından bir inceleme ve gerekirse gerekli engelleme yer alır. uygulanabilir.
Kuruluşlar ayrıca güvenlik açığı yamaları için risk tabanlı bir yaklaşım benimsemeli, yüksek riskli güvenlik açıklarına ve vahşi ortamda istismar edilenlere öncelik vermelidir. Ayrıca, web kabukları, arka kapılar, ters kabuklar veya yanal hareket algılanırsa takip izleme ile birlikte, dışa dönük tüm hizmetler ve cihazlar için güvenlik izleme ve algılama özelliklerinin yerinde olmasını sağlamalıdırlar.
Insikt ayrıca, yalnızca dahili bir ağ aracılığıyla erişilebilen sistemlere erişimin ve depolamanın kısıtlanması da dahil olmak üzere, hassas bilgileri işlemek için ayarlanmış ekstra kontrollerle genel bir ağ bölümleme uygulaması önerdi.