Sofistike bir siber saldırı, UYGHURDITPP-A Güvenilir açık kaynaklı Uygur dil metin düzenleyicisinin silahlandırılmış bir versiyonunu kullanarak En Büyük Uyghur Diaspora Organizasyonu olan Dünya Uyghur Kongresi’nin (WUC) üst düzey üyelerini hedef aldı.
Bu olay, dijital ulusötesi baskının teknik evrimini ve kültürel yazılımın, muhtemelen Çin hükümetiyle bağlantılı devlete uyumlu tehdit aktörleri tarafından sömürülmesini örneklemektedir.
Enfeksiyon Zinciri: Sosyal Mühendislik Teknik Alt Fuar’ı karşılıyor
Saldırı, bir ortak kuruluş taklit eden ve Ramazan’a güven oluşturmak için referans vererek bir spearphishing e -postasıyla başladı.
.png
)
E -posta, WUC üyelerini bir Google Drive bağlantısı aracılığıyla Uyghureditpp’i indirmeye ve test etmeye çağırdı. Arşiv, bir kez yürütüldüğünde, beklenen metin düzenleme işlevlerini yerine getiren ancak “gheyretdetector.exe” adlı bir arka kapı bileşeni yükleyen meşru yazılımın truva atışlı bir versiyonunu içeriyordu.
Bu arka kapı, Çin’deki kültürel bastırma nedeniyle Uyghur-dili yazılımının kıtlığıyla daha etkili hale getirilen bir taktik olan, toplum tarafından geliştirilen araçlara yerleştirilen güvenden yararlandı.
Kötü amaçlı yazılımların teknik çekirdeği, uygulamanın kötü amaçlı yükün yayınlanmasını ve kalıcı olarak yürütülmesini tetikleyen ana form yük etkinliğinde ikamet etti. Kalıcılık, her beş dakikada bir çalıştıran, kötü amaçlı yazılımın hayatta kalan sistemin yeniden başlatılmasını sağlayan ve enfekte olmuş ana bilgisayara sürekli erişimi sürdüren planlanmış bir görev (“gheyretupdater”) oluşturularak elde edildi.
Teknik yetenekler ve komut altyapısı
Kurulduktan sonra, kötü amaçlı yazılım kapsamlı bir sistem profil rutini başlattı. Cihaz tanımlayıcıları, kullanıcı adları, IP adresleri, işletim sistemi sürümleri ve karma donanım detaylarını topladı.
Bu bilgiler daha sonra Tengri olarak sabit kodlanmış bir uzaktan komut ve kontrol (C2) sunucusuna iletildi[.]Oogu[.]com, anar yedeklemesi ile[.]hile[.]Uygur ve Türk toplulukları ile kültürel rezonansları için seçilen her iki alan.
Backdoor’un modüler mimarisi, operatörlerin dosya yükleme/indirme, keyfi komut yürütme ve daha fazla gözetim işlemleri gibi genişletilmiş işlevsellik için ek eklentiler dağıtmasına izin verdi.
Bu eklenti tabanlı tasarım, saldırganların araç setlerini belirli hedefler için özelleştirmelerini sağladı ve yüksek değerli bir sistem tanımlanana kadar operasyonel gizliliği korudu.
C2 altyapısı, Çin tehdit aktörleri tarafından sıklıkla istismar edilen bir ağ olan Choopa LLC’nin AS20473 tarafından barındırılan IP adreslerinden yararlandı.
Özellikle, sunucular, kullanımdan kaldırılmış şifreli kriptografik standartlar ve kötü niyetli niyetin negatif seri numarası açık göstergeleri ve güvenlik araçları tarafından tespitten kaçınma girişimi içeren Microsoft’u taklit eden kendi kendine imzalanmış bir TLS sertifikası kullandı.
Atıf, etki ve savunma önlemleri
Rapora göre, Citizen Lab kampanyayı belirli bir gruba kesin olarak atfetmese de, taktikler, hedefleme ve altyapı, Çin uyumlu önceki Uygur, Tibet ve Hong Kong topluluklarına karşı hizalanmış siber operasyonları yakından yansıtıyor.
Saldırganlar, temel dil koruma araçlarına olan güveni zayıflatmak için sosyal mühendislik ve teknik yıkım kullanarak Uygur kültürel dinamikleri ve diaspora ihtiyaçları hakkında derin bilgi gösterdiler.
Daha geniş bağlam, Çin’in devam eden dijital ulusötesi baskı kampanyasıdır, burada kötü amaçlı yazılım, kimlik avı ve çevrimiçi taciz, sürgün edilen toplulukları gözetlemek, korkutmak ve sessizleştirmek için konuşlandırılmıştır.
Psikolojik etki derindir, kültürel hayatta kalma için hayati önem taşıyan dijital kaynaklara olan güveni arttırır.
Güvenlik uzmanları, risk altındaki toplulukların:
- Yalnızca resmi depolardan veya doğrulanmış geliştirici sitelerinden yazılımı indirin.
- Bilinmeyen yayıncılarla ilgili kod imzalama sertifikaları ve uyarıları kontrol edin.
- Typosquatting veya kimliğe bürünme için alan adlarını inceleyin.
- Kimlik avı girişimleri, özellikle de kültürel veya dini olaylara atıfta bulunanlar için uyanık kalın.
Bu olay, savunmasız diaspora topluluklarını devlet destekli dijital tehditlerden korumak için ev sahibi hükümetler, teknoloji platformları ve sivil toplumun koordineli savunma önlemlerine acil ihtiyacı vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!