Siber savaş / ulus-devlet saldırıları, dolandırıcılık yönetimi ve siber suç, Geo Focus: Asya
Çin devlet destekli siber grup, devam etmek için evli olmayan kötü amaçlı yazılımları dağıtıyor
Prajeet Nair (@prajeaetspeaks) •
12 Şubat 2025
Çin devlet destekli siber grup APT40, Pasifik bölgesindeki hükümet ve kritik altyapı ağlarına yönelik saldırılarını yoğunlaştırdı ve Samoa’nın Ulusal Siber Güvenlik Ajansı’nı acil bir danışma yayınlamaya teşvik etti.
Ayrıca bakınız: APJ’de Siber Güvenliğin Geleceği
Samoa’nın bilgisayar acil müdahale ekibi veya Samcert, APT40’ın, algılamadan kaçınırken ağlara sızmak ve devam etmek için sözlü olmayan kötü amaçlı yazılımlar ve değiştirilmiş emtia kötü amaçlı yazılımları kullandığı konusunda uyardı.
Çoğu Çin ulus-devlet faaliyeti Güneydoğu Asya ve Batı uluslarına odaklanmıştır, ancak Samcert’in ortak uluslardan gelen soruşturmalarına ve istihbaratına dayanan danışma, grubun hedefli sistemlerdeki uzun süreli varlığının mavi Pasifik bölgesine verdiği siber boyama riskleri konusunda uyardı. Geniş Orta Pasifik Okyanusu’nda binlerce ada.
Samcert, “Soruşturmalarımız boyunca tehdit oyuncusunun kendilerini uzun süre önce ağlarda konumlandırdığını ve pesfiltrasyon faaliyeti gerçekleştirmeden önce tespit edilmediğini gözlemlediğimizi belirtmek gerekir.” “Bu etkinlik sofistike.”
Ağustos 2023’te Google tarafından IslandDreams olarak izlenen Çin’e uyumlu APT40, Papua Yeni Gine’de kurbanları hedefleyen bir kimlik avı kampanyası başlattı. E-postalar, bir istismar, açılamayan şifre korumalı bir tuzak PDF ve .lnk dosyası dahil olmak üzere birden fazla ek içeriyordu. .Lnk dosyası, sabit kodlu bir IP adresinden veya bir dosya paylaşım sitesinden kötü niyetli bir .dll yükü yüklemek için tasarlanmıştır.
Saldırının son aşaması, .NET için, Dropbox API’sı aracılığıyla saldırganların botnet komut ve kontrol ağına bağlanan bellek içi bir arka kapı olan Boxrat’ı yüklemeye çalışır.
Daha önce Amerika Birleşik Devletleri ve Avustralya’ya yapılan saldırılara bağlı APT40, odağını Pasifik Adası ülkelerine kaydırdı, burada DLL yan yükleme, kayıt defteri değişiklikleri ve bellek tabanlı kötü amaçlı yazılım yürütme dahil olmak üzere gelişmiş taktikler kullandı. Grubun yöntemleri ayrıca komut ve kontrol trafiğini gizlerken hassas verileri yaymak için değiştirilmiş ters vekillerin dağıtılmasını içerir.
Samcert’in bulguları, APT40’ın ağlara uzun vadeli erişim sağladığını, keşif ve veri hırsızlığı operasyonlarını uzun süre boyunca yürüttüğünü göstermektedir.
Grup, genellikle güvenlik önlemlerinden kaçınmak ve kontrolü sürdürmek için meşru idari araçlar kullanarak ağlardaki yanal harekete dayanır.
Ajans, kuruluşları sistematik tehdit avı yapmaya, kapsamlı bir kayıt oluşturmaya ve olay müdahale planlarını gözden geçirmeye çağırıyor. Ayrıca, APT40’ın sömürdüğü güvenlik açıklarını kapatmak için uç noktaların ve güvenlik duvarlarının derhal yamalanmasını önerir.