Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Hükümet
Siber casusluk grupları kamu bulut sitelerinde kötü amaçlı yazılım altyapısı barındırıyor
Jayant Chakravarti (@JayJay_Tech) •
8 Ağustos 2024
Siber güvenlik şirketi Symantec, kötü amaçlı yazılım altyapılarını barındırmak ve saldırılar gerçekleştirmek için Microsoft OneDrive ve Google Drive dahil olmak üzere meşru bulut hizmetlerini kullanan üç siber casusluk kampanyasını ortaya çıkardığını söylüyor. Üç casusluk operasyonu da Doğu ve Güneydoğu Asya’daki kurbanları hedef aldı.
Ayrıca bakınız: VMware Carbon Black Uygulama Denetimi
Symantec, üç ayrı siber casusluk kampanyasını ortaya çıkardığını söyledi. Bir kampanya, kötü niyetli aktörlerin Microsoft posta hizmetlerinde barındırılan bir komuta ve kontrol sunucusuyla etkileşim kurmak için Microsoft Graph API’sini kullanan Go dilinde yazılmış daha önce görülmemiş bir arka kapı kötü amaçlı yazılımını dağıtmasıyla ilgiliydi.
Siber güvenlik şirketi tarafından GoGra olarak adlandırılan arka kapı, “FLU LNU” adlı bir Outlook kullanıcı adından gelen mesajları okur, AES-256 algoritmasını kullanarak mesaj içeriklerini şifreler, komutları yürütür, çıktıyı şifreler ve Outlook kullanıcısına geri gönderir. Symantec, arka kapının muhtemelen Harvester olarak takip ettiği ve özellikle Güney Asya’daki kuruluşları hedef alan bir ulus devlet hacker grubu tarafından dağıtıldığını söyledi.
Symantec raporu, yazılım şirketi Enea’nın, kötü niyetli kişilerin kurbanları bilgilerini çalmak için kötü amaçlı web sitelerine yönlendirmek amacıyla Amazon S3, Google Cloud Storage, Backblaze B2 ve IBM Cloud Object Storage gibi bulut depolama hizmetlerini kullandığını tespit eden araştırmasının ardından geldi.
Symantec ayrıca, Bitdefender tarafından Naikon APT olarak takip edilen ve Çin merkezli olduğu düşünülen FireFly casusluk grubunun Güneydoğu Asya’daki bir askeri organizasyona karşı daha önce görülmemiş bir veri sızdırma aracı kullandığına dair siber casusluk faaliyetlerini de ortaya çıkardı.
Saldırganlar, sızdırma aracını Python sarmalayıcısında herkese açık bir Google Drive istemcisinde barındırdı ve enfekte sistemlerdeki System32 dizininde .jpg resimlerini arayacak şekilde yapılandırdı. Araç, sonunda belgeleri, toplantı notlarını, görüşme kayıtlarını, bina planlarını, e-posta klasörlerini ve muhasebe verilerini topladı ve bunları RAR dosyaları olarak Google Drive’a yüklemeden önce şifreledi.
Üçüncü siber casusluk kampanyasında, saldırganın kontrolündeki Microsoft OneDrive’da barındırılan bir komuta ve kontrol sunucusuyla iletişim kurmak için Graph API’yi kullanan Trojan.Grager adlı bir arka kapı kullanıldı.
Muhtemelen Çinli casusluk grubu UNC5330 ile ilişkili olan saldırganlar, Trojan.Grager’ı şifresini çözen ve çalıştıran Tonerjam kötü amaçlı yazılımını indirmek için açık kaynaklı dosya arşivleyicisi 7-Zip için sahte bir URL kullandı. Arka kapı, ana cihazdan sistem bilgilerini alır, kötü amaçlı komutları yürütür ve kullanılabilir sürücülerin adları ve boyutları gibi dosya sistemi bilgilerini toplar. Symantec, casusluk faaliyetinin Nisan 2024’te Tayvan, Hong Kong ve Vietnam’daki üç kuruluşu hedef aldığını söyledi.
Siber suçlular ayrıca Microsoft OneDrive’ı, tespit edilmekten kaçınmak için enfeksiyon aşamasında Graph API’yi kullanarak kendini doğrulayan çok aşamalı bir arka kapı barındırmak için kullandı. ABD ve Avrupa’daki BT hizmetleri şirketlerine yönelik kampanya, saldırganların saldırıların kaynağını gizlemek için Orbweaver adlı bir Operasyonel Röle Kutusu ağına bağlanmak için açık kaynaklı Çin VPN Free Connect projesinin bir çeşidini kullanmasını içeriyordu.