Çince dilindeki gelişmiş kalıcı tehdit (APT) casusluk yapıyor hükümet bakanlıkları doğu yarım küre boyunca.
Bunun ilk işaretleri geçen yılın Ağustos ayı sonlarına kadar uzanıyor. O zamanlar henüz kimliği belirlenemeyen grup, Gh0st RAT’ın değiştirilmiş bir versiyonunu kullanmaya başladı; takma adı “SugarGh0st RAT“Güney Kore’deki hedeflerin yanı sıra Özbekistan’daki Dışişleri Bakanlığı hakkında casusluk yapmak için”. Cisco Talos o zamandan bu yana bir açıklamada bulundu. yeni blog yazısıArtık “SneakyChef” olarak adlandırılan grup, daha fazla ülkede yeni kampanyalar hazırlıyor.
Yem belgelerine göre kampanyanın olası hedefleri arasında şunlar yer alıyor:
-
Angola, Hindistan, Kazakistan, Letonya ve Türkmenistan’ın dışişleri bakanlıkları
-
Angola’da tarım ve ormancılık ile balıkçılık ve deniz kaynakları bakanlıkları
-
Abu Dabi’deki Suudi Arabistan Büyükelçiliği
Talos, SneakyChef’i herhangi bir hükümete atfetmedi. Ancak kodunda mevcut olan Çince dil tercihlerine, SugarGh0st RAT – özellikle de Çinli tehdit aktörleri arasında popüler olmasa da – ve hedeflerinin benzer profili.
Sneaky Chef’in Son Porsiyonları
İlk kampanyalarda ilk enfeksiyon için LNK dosyalarına gömülü kötü amaçlı RAR dosyaları kullanılırken, artık SneakyChef kendi kendine açılan RAR’ları (SFX RAR) tercih ediyor. Değişim bazı mütevazı faydalar sunuyor.
Cisco Talos’un sosyal yardım başkanı Nick Biasani, “RAR dosyaları Windows 11’de resmi desteğe yeni kavuştu, bu nedenle Windows 11’den önceki herhangi bir şey için, dosyayı çıkarabilmek için ekstra yazılıma sahip olmanız gerekir” diye açıklıyor. “Kendi kendine açılan bir RAR dosyası, ekstra yazılım ihtiyacını ortadan kaldırır, bu nedenle muhtemelen enfeksiyon olasılığını artırır.”
SFX RAR’ın sunduğu güzel şeyler arasında: sahte bir belge, bir dinamik bağlantı kitaplığı (DLL) yükleyicisi, bazı şifrelenmiş kötü amaçlı yazılımlar (SugarGh0st RAT veya SneakyChef’in en yeni aracı SpiceRAT) ve kalıcılığı sağlamaya yönelik kötü amaçlı bir Visual Basic (VB) komut dosyası.
Tuzaklar, bir şekilde hedeflenen bakanlık veya büyükelçilikle ilgili olan meşru, taranmış belgelerdir. Çoğunlukla yaklaşan bir toplantı veya konferans gibi bir tür hükümet işini tanımlayacaklar. Talos’un son kampanyalarda kullanılan hiçbir belgeyi açık webde bulamaması dikkat çekicidir. (Bu onların casusluk yoluyla elde edildiğini gösterebilir.)
Devletin siber casusluğu söz konusu olduğunda, “Genellikle gördüğümüz şey bunun ‘ilk dalga’ olacağıdır. Bu aktör tipik olarak çok bilgili değil, daha çok çok sayıda yem göndermeyi ve çok sayıda insanı enfekte etmeyi hedefliyor, böylece ilk dayanağı elde edip veri toplamaya başlayabilirler” diyor Biasani. Daha sonra belirli, ekstra güvenli bir devlet kurumuna erişmeleri gerektiğinde. “İşte o zaman bu saldırıların daha karmaşık unsurlarının ortaya çıktığını görmeye başlıyorsunuz.”