CNC olarak bilinen sofistike ileri kalıcı tehdit (APT) grubu, Güney Asya’daki bilimsel araştırma kurumlarını ve üniversiteleri hedefleyen “Deniz Fili Operasyonu” olarak adlandırılan bir siber casusluk kampanyası yürütüyor.
Okyanus bilimleriyle ilgili araştırma verilerini çalmayı amaçlayan operasyon yakın zamanda güvenlik araştırmacıları tarafından ortaya çıkarıldı.
Daha önce Patchwork ile ilişkili CNC grubu, bilimsel araştırmalara katılan yerli öğretmenlere, öğrencilere ve kurumlara odaklanmak için taktiklerini geliştirdi.
Saldırıları, bölgedeki diğer APT gruplarına kıyasla daha yüksek bir başarı oranı ile daha modüler ve özelleştirilmiş hale geldi.
Gelişmiş kötü amaçlı yazılım ve exfiltrasyon teknikleri
Saldırganlar, hedef sistemlere sızmak ve hassas verileri söndürmek için çeşitli kötü amaçlı yazılım araçları ve teknikleri kullanır.
Arsenal, uzaktan komut yürütme backroors, USB Flash Drive Yayılma eklentileri, KeyLoggers ve Dosya Stealer’ları içerir.
İşlemlerinin dikkate değer bir yönü, GitHub’ın bir komut ve kontrol (C2) altyapısı olarak kullanılmasıdır.
Kötü amaçlı yazılım, komut almak ve verileri dışarı atmak için GitHub depoları ile iletişim kurar, bu da geleneksel ağ tabanlı güvenlik önlemlerini algılamayı ve engellemeyi zorlaştırır.
CNC Group ayrıca, çalınan verileri gizlemek için steganografi teknikleri kullanan sofistike dosya çalma eklentileri geliştirdi.
Bu eklentiler belirli dizinleri hedefler, çalınan dosyaları şifreleyin ve paketler ve SFTP gibi güvenli protokolleri kullanarak C2 sunucularına yükler.
Okyanusla ilgili araştırmalara odaklanın
Deniz Fili Operasyonu’nun temel odağı, okyanus bilimleri ve teknolojileri ile ilgili bilimsel araştırmaların çalınması gibi görünmektedir.
Çalınan belgeler arasında iç dalga suyu taşımacılığı, okyanus karbon tutma ve deniz laboratuvar projesi planları üzerine çalışmalar bulunmaktadır.
Bu hedeflenen casusluk kampanyası, tehdit aktörlerinin Güney Asya ülkesinin Hint Okyanusu bölgesine hakim olma hırslarını desteklemek için çalıştığını gösteriyor.
Bununla birlikte, araştırma verilerini çalma ihtiyacı, ülkenin gerçek bilimsel yeteneklerinin stratejik hedefleriyle eşleşmeyebileceğini göstermektedir.
Sea Fil Operasyonunun keşfi, devlet destekli siber casusluk kampanyalarından akademik ve araştırma kurumlarına devam eden tehdidi vurgulamaktadır.
Bu sektörlerdeki kuruluşlar, hassas araştırma verilerini korumak için uyanık kalmalı ve güçlü güvenlik önlemleri uygulamalıdır.
Güvenlik araştırmacıları, etkilenen kuruluşların bulut tabanlı tehdit algılama sistemlerini etkinleştirmelerini ve hassas veriler için katı erişim kontrolleri uygulamalarını önermektedir.
Buna ek olarak, personel ve öğrenciler arasında mızrak avlama saldırıları riskleri ve uygun veri işlemesinin önemi konusunda farkındalık artırmak, bu tür sofistike APT gruplarının ortaya koyduğu tehdidi azaltmaya yardımcı olabilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free