Cyble Research and Intelligence Labs’deki (CRIL) siber güvenlik araştırmacıları, yakın zamanda SharpPanda APT olarak bilinen gelişmiş bilgisayar korsanlığı grubu tarafından devam eden bir kampanyayı ortaya çıkardı.
Daha önce Güneydoğu Asya ülkelerindeki hükümet yetkililerini hedef aldığı gözlemlenen bu grup, şimdi odağını G20 ülkelerinden üst düzey hükümet yetkililerine kaydırdı.
CRIL raporunda, “Daha önce, bu APT grubunun özellikle Güneydoğu Asya ülkelerinde hükümet yetkililerini hedef aldığı gözlemlenmişti.”
“Bu son kampanya özellikle G20 ülkelerinden üst düzey hükümet yetkililerini hedefliyor.”
1999 yılında kurulan G20, 19 ülkeyi ve Avrupa Birliği’ni kapsayan önemli bir uluslararası forumdur.
Odaktaki bu değişiklik, grubun gelişen taktikleri ve küresel güvenlik ve ekonomik işbirliği üzerindeki potansiyel etkileri hakkında endişeleri artırıyor.
SharpPanda APT’nin kökenleri
SharpPanda APT, belirli jeopolitik hedeflere karşı genişletilmiş ve karmaşık siber saldırılar gerçekleştirme konusunda bir itibar kazanmıştır.
Spear-phishing, sosyal mühendislik manipülasyonu ve sıfırıncı gün güvenlik açıklarından yararlanma gibi stratejiler kullanır. Hükümetler, kuruluşlar ve endüstrilerin hepsi müdahaleci faaliyetlerinin kurbanı oldu.
19 ülke ve Avrupa Birliği’nden oluşan G20, 1999 yılında küresel ekonomik işbirliğini geliştirmek ve dünya ekonomisini etkileyen temel zorlukları ele almak için uluslararası bir forum olarak kuruldu.
Çok çeşitli ekonomileri temsil eden ve toplu olarak küresel GSYİH ve nüfusun önemli bir payını oluşturan üye ülkelerle G20, liderlerin güvenlik, ekonomi ve mali politikaları tartışmak ve koordine etmek için bir araya geldiği yıllık zirveler düzenler.
SharpPanda APT kampanyası ve G20 yetkilileri
CRIL raporunda, “Son kampanyasında SharpPanda APT grubu, G20 forumu içindeki çeşitli hükümetleri hedef almak için G7 ile bağlantılı sahte bir belge kullanıyor” denildi.
Kampanyanın bulaşma zinciri, “adlı ekli bir MS Office belgesi içeren bir spam e-posta ile başlar.[FINAL] Dirençli Küresel Gıda Güvenliği için Hiroşima Eylem Bildirimi_trackchanged.docx.”
Konu satırı “ olan bu aldatıcı e-posta[Sending Finalized Text] G7+Partners FASS Toplantısı”, G20 ülkelerinde çok sayıda devlet çalışanına dağıtılır.
Orijinal gibi görünen ekteki belge, kötü amaçlı yazılımın bir sonraki aşamasını saldırganların Komuta ve Kontrol (C&C) sunucusundan almak için uzak şablon enjeksiyonunu kullanıyor.
Spam e-postadaki silah haline getirilmiş RTF dosyası, Microsoft Word’ün Denklem Düzenleyicisindeki güvenlik açıklarından yararlanarak bir dizi belirli güvenlik açığından (CVE-2018-0802, CVE-2018-0798 ve CVE-2017-11882) yararlanır.
Bu istismarlar, şifrelenmiş yüklerin ve kabuk kodunun yürütülmesini sağlayarak kurbanların sistemlerinde kalıcılık mekanizmalarının kurulmasına yol açar.
Raporda, “E-postalar, kötü amaçlı yazılımın bir sonraki aşamasını TA’nın Komuta ve Kontrol (C&C) sunucusundan almak için uzak şablon enjeksiyon yöntemini kullanan, görünüşte gerçek resmi belgelerin silah haline getirilmiş sürümlerini içeriyor.”
“Belgeyi açtıktan sonra, saldırganın uzak sunucusundan yeni bir yükün indirilmesini başlatır; bu, bir sonraki seviye yük olarak hizmet veren RTF dosyasıdır.”
Kurbanın bilgilerinin uzak sunucuya başarılı bir şekilde iletilmesinin ardından, teknik aktörler (TA’lar) toplanan verileri titizlikle analiz eder.
TA’lar kurbanın makinesini ilgi çekici bulursa, Komuta ve Kontrol (C&C) sunucusu yanıt olarak bir sonraki yürütülebilir aşamayı sağlayarak karşılık verir.
Raporda, “Bulaşma zincirinin son aşamasında, SharpPanda APT kampanyasındaki kötü niyetli yükleyici, bir arka kapı modülünü indirmek için özel olarak tasarlandı” denildi.
“Ancak analizimiz sırasında uzak sunucudan herhangi bir yanıt alınmadı.”
SparpPanda APT: Son kampanyalar
Ulus destekli tehdit gruplarının yükselişi uzun süredir endişe konusu olmuştur.
Haziran 2021’de Check Point Research, SharpPanda APT’nin Güneydoğu Asya’daki bir devlet kuruluşunu hedef alan bir gözetleme operasyonunu ortaya çıkardı.
Rapora göre saldırganlar hedef odaklı kimlik avı teknikleri kullanıyor ve eski Microsoft Office güvenlik açıklarından yararlanarak kurbanın makinelerine bilinmeyen bir arka kapı yerleştiriyor.
Operasyonun, son üç yılda araçlarını rafine etme geçmişi olan Çinli bir APT grubu tarafından gerçekleştirildiğine inanılıyor.
Mart 2023’te Check Point araştırmacılarının bulduğuna göre grup, Güneydoğu Asya hükümetlerini, özellikle bölgesel anlaşmazlıkları veya stratejik altyapı projeleri olanları hedef almaya devam etti.
Sharp Panda’nın araçları ve Taktikleri, Teknikleri ve Prosedürleri (TTP’ler) Güneydoğu Asya’daki önceki saldırılarda gözlemlendi.
Bu özellikler, özel araçların farklı gruplar arasında paylaşılmasını ve bir varlığın bulaşmayı başlatmaya odaklandığı, diğerinin ise istihbarat toplamada uzmanlaştığı görev dağılımını içerir.
Araştırmacılar, bu ortak özelliklerin Çin merkezli APT operasyonlarıyla ilişkili olduğunu buldu.