Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Kurbanlar arasında 23 Ülkeden En Az 70 Kuruluş Var
Sayın Mihir (MihirBagwe) •
19 Mart 2024
Güvenlik araştırmacıları, Güneydoğu Asya'da güçlü bir odaklanmaya sahip olan ve Şubat ayındaki dahili veri sızıntısı, özel sektör şirketlerinden oluşan bir ağın adına hackleme yaptığını ortaya çıkaran Çinli devlet hackleme yüklenicisi iSoon'un işi olabilecek bir hackleme kampanyası tespit ettiklerini söylüyorlar. Pekin.
Ayrıca bakınız: İsteğe Bağlı | Hileli URL Hileleriyle Mücadele: En Son Kimlik Avı Saldırılarını Nasıl Hızlı Bir Şekilde Tanımlayabilir ve Araştırabilirsiniz?
Trend Micro, 2022'nin başlarından bu yana aktif olan kampanyanın Çin bağlantısına dair birçok gösterge gösterdiğini söyledi. Saldırganlar, kampanyanın yanal hareket aşamasında kullanılan kötü amaçlı yazılımları, şirketin daha önce Earth Lusca olarak izlediği Çin-nexus grubuna atfedilen IP adreslerinden indirdi. Firma ayrıca komuta ve kontrol altyapısında ve Earth Lusca tarafından kullanılan alan adlarında çakışmalar gördü.
Ancak ilk aşamadaki arka kapılar Earth Lusca tarafından kullanılanlardan farklı; bu da Trend Micro'nun bu kampanyayı Earth Krahang adını verdiği ayrı bir grubun işi olarak adlandırmasına yol açtı. Trend Micro'nun önceki çalışması, Earth Lusca'yı iSoon'a bağladı ve şirketin, Şangay merkezli iSoon'dan geldiği anlaşılan sızdırılmış e-tablolar, sohbet günlükleri ve pazarlama materyalleri deposunu daha yakından incelemesine yol açtı (bkz.: Çinli Hacking Yüklenicisi iSoon Dahili Belgeleri Sızdırdı).
“Sızdırılan bu bilgiyi kullanarak şirketin penetrasyon ekibini iki farklı alt gruba ayırdığını tespit ettik. Vahşi doğada aktif ancak sınırlı birlikteliğe sahip iki bağımsız faaliyet kümesi görmemizin olası nedeni bu olabilir. Earth Krahang başka bir penetrasyon ekibi olabilir Trend Micro, “aynı şirket altında” dedi.
Artık devre dışı bırakılmış bir GitHub deposunda herhangi bir açıklama yapılmadan yayınlanan iSoon sızıntısı, Çin'in Sichuan bölgesinde gelişen, kurumsal kiralık hacker sahnesini vurguluyor. Çok sayıda uzman Bilgi Güvenliği Medya Grubu'na belgelerin meşru göründüğünü söyledi. Sızan kayıtlar, Anxun Bilgi Teknolojisi olarak da bilinen şirketin esas olarak Kamu Güvenliği Bakanlığı'ndan hackleme görevleri aldığını ve sözleşmelerin Asya kuruluşlarına hacklemeyi gerektiren iç güvenlik çıkarlarına bağlı olduğunu gösteriyor.
Trend Micro, Earth Krahang kampanyasının Tayland, Endonezya, Malezya, Filipinler ve Güney Kore'de doğrulanan ihlaller de dahil olmak üzere 23 ülkeye yayılmış en az 70 farklı kurbanı etkilediğini söyledi.
Araştırmacılar, tehdit aktörlerinin bilgisayar korsanlarına günlük dosyaları da dahil olmak üzere erişebildikleri için, bazıları ABD'de ve Güney Amerika'nın büyük bölümünde olmak üzere ek olası kurbanları belirlediler.
Tehdit aktörünün birincil hedefi devlet kurumları olsa da eğitim ve iletişim sektörlerini de hedef aldı.
Kötü amaçlı yazılım yaymanın bir yolu, bir devlet kurumundaki güvenliği ihlal edilmiş bir posta kutusunu kullanarak diğer yetkililere hedef odaklı kimlik avı e-postaları göndermek ve genellikle “Savunma Bakanlığı Genelgesi” gibi meşru görünen konuları kullanmaktır. Ayrıca, güvenliği ihlal edilmiş devlet web sunucularında kötü amaçlı yazılım barındırıyor ve kurbanların kimlik avı e-postalarındaki bağlantılara tıklama eğilimini artırıyor, çünkü bunlar görünüşte zararsız bir alana yönlendiriyor. Grup muhtemelen zayıf kimlik bilgilerini aramak için kaba kuvvet araçlarını kullanıyor.
Trend Micro, “Earth Krahang, saldırılarını gerçekleştirmek için hükümetler arasındaki güveni kötüye kullanıyor” dedi. “Bir vakada, aktör, aynı kuruluşa ait 796 e-posta adresine kötü amaçlı bir ek göndermek için bir devlet kuruluşunun güvenliği ihlal edilmiş bir posta kutusunu kullandı.”
Earth Krahang, kalıcılığı korumak ve kurbanın ortamından hassas bilgileri çıkarmak için, güvenliği ihlal edilmiş sunuculara VPN sunucuları kurmak, Mimikatz gibi araçlar aracılığıyla kimlik bilgilerini çalmak, ağ taraması yoluyla yanal hareket etmek ve ayrıcalıkları yükseltmek için bilinen güvenlik açıklarını kullanmak gibi taktikler dahil olmak üzere çeşitli teknikler kullanıyor.
Cobalt Strike'ı ve DinodasRAT olarak da bilinen Reshell ve XDealer adlı iki özel arka kapıyı indirerek kalıcılığı korur. İkincisinin örnekleri zaman içinde sürüm artışlarını gösteriyor gibi görünüyor, bu da onun bir süredir yaygın olarak kullanıldığını ve hala aktif geliştirme aşamasında olduğunu gösteriyor.
Tehdit aktörü ayrıca, Cobalt Strike komuta ve kontrol sunucularını tarayıcılardan ve arama motoru web tarayıcılarından gizleyen bir proxy dağıtarak dostane taramanın Cobalt Strike'ın varlığını tespit etmesini engellemek için adımlar attı.