Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Daha Önce Bilinmeyen APT, Mağdurlara Ulaşmak İçin Tedarik Zinciri Hack’ini Kullanıyor
Jayant Chakraborty (@JayJay_Tech) •
23 Ağustos 2023
Daha önce bilinmeyen bir tehdit grubu, çoğunlukla Hong Kong’da bulunan kurbanları hedef almak için Çin şifreleme uygulamasını kullanarak bir tedarik zinciri saldırısı düzenledi.
Ayrıca bakınız: Savaş Sisi | Ukrayna Çatışması Siber Tehdit Ortamını Nasıl Dönüştürdü?
Symantec’teki araştırmacılar, tehdit aktörlerinin yaklaşık 2.000 sisteme arka kapı kurmak için Cobra DocGuard yazılımını silah haline getirdiğini söyledi. Araştırmacılar yaklaşık 100 bilgisayardan oluşan bir alt kümede kötü amaçlı etkinlik tespit etti; bu da tehdit aktörlerinin belirli kurbanları hedef alıyor olabileceğini gösteriyor.
Cobra DocGuard şifreleme yazılımı, Pekin merkezli NSFocus’a ait olan EsafeNet tarafından üretilmektedir. Symantec, şifreleme uygulamasına dahil edilen arka kapı olan Korplug’un “birden fazla APT grubu tarafından kullanıldığı biliniyor” diyor. PlugX olarak da bilinir. Bilinen tehdit gruplarıyla bağlantısı olmadığından Symantec bu grubu Carderbee olarak adlandırdı.
Bu, Cobra DocGuard’ın Doğu Asya’ya ilgi duyan bilgisayar korsanları için bir yol olduğu ilk sefer değil veya aynı bilgisayar korsanlarının Korplug’u kullandığı tek sefer değil. Siber güvenlik şirketi Eset, Eylül 2022’de APT27, Iron Tiger ve Emissary Panda olarak da bilinen Çinli siber casusluk grubu LuckyMouse’un, Hong Kong merkezli bir şirketin sistemlerine Korplug kötü amaçlı yazılımının bir çeşidini yerleştirmek için Cobra DocGuard yazılımının kötü amaçlı bir güncellemesini kullandığını tespit etti. kumar şirketi.
Mandiant’taki güvenlik araştırmacıları yakın zamanda Temp.Hex olarak bilinen Çinli bir casusluk tehdit grubunun USB sürücüler kullanarak Korplug’u dağıttığını tespit etti (bkz.: İhlal Özeti: BT Çalışanı Kimliğe Bürünmekten Mahkûm Edildi).
Symantec tarafından incelenen Korplug sürümü bir keylogger görevi görüyor ve dosyaları numaralandırabiliyor, çalışan işlemleri kontrol edebiliyor, dosyaları indirebiliyor ve güvenlik duvarı bağlantı noktalarını açabiliyor. Symantec araştırmacıları, Cobra DocGuard’a yerleştirilmiş ve birden fazla farklı kötü amaçlı yazılım ailesi için bir kanal görevi gören kötü amaçlı bir güncelleyici tespit etti. Bir vakada, saldırganlar tarafından dağıtılan indiricinin Microsoft’tan dijital olarak imzalanmış bir sertifikası vardı ve saldırganlar bunu Korplug’u yüklemek için kullandı. Sertifika özellikle Microsoft’un Windows Donanım Uyumluluk Yayımcısına aitti. Temmuz ayında Microsoft, birçok donanım geliştirici programı hesabının, kullanım sonrası etkinliklerde kullanılmak üzere sertifikaları kötüye kullandığı konusunda uyardı.
Symantec, Carderbee’nin belirli sektörleri veya kuruluşları hedef alıp almadığını belirleyemediğini ancak grubun saldırıları gerçekleştirmeden önce dikkatli bir planlama ve keşif yaptığını söyledi.