Sophos’un yeni araştırmasına göre, Çin devletinin çıkarlarıyla bağlantılı tehdit aktörleri en az Mart 2022’den bu yana ismi açıklanmayan yüksek profilli bir Güneydoğu Asya hükümet kuruluşunu hedef alıyor.
Araştırmacılar tarafından “Kızıl Saray” olarak adlandırılan Çin casusluk tehdidi, ilk kez Mayıs 2023’te Sophos MDR’den Mark Parsons tarafından gözlemlendi ve Sophos Managed Detection’da yapılan bir tehdit avı sırasında “Çin devleti destekli karmaşık, uzun süredir devam eden bir siber casusluk operasyonunu” ortaya çıkardı. ve Yanıt telemetrisi. Tehdit aktörleri aktif kalmaya devam ediyor gibi görünüyor.
VMware DLL Sideloading Discovery’ye ilişkin soruşturma başlatıldı
Sophos araştırmacıları bugün yayınlanan bir raporda, MDR’nin bir VMware bileşeni olan VMNat.exe’den yararlanan bir DLL dışarıdan yükleme tekniğinin keşfedilmesinin ardından aramayı başlattığını yazdı.
Soruşturma, Mart 2023 ile Aralık 2023 arasında “en az üç izinsiz giriş faaliyeti kümesini” ortaya çıkardı. Tehdit avı, tehdit kümeleriyle ilişkili daha önce bildirilmemiş kötü amaçlı yazılımların yanı sıra EAGERBEE kötü amaçlı yazılımının geliştirilmiş yeni bir varyantını ortaya çıkardı. Sophos, kümeleri Cluster Alpha (STAC1248), Cluster Bravo (STAC1807) ve Cluster Charlie (STAC1305) olarak izliyor.
Araştırmacılar, “Hedeflenen ağdaki görünürlüğümüz, Sophos uç nokta korumasının kuruluş içinde konuşlandırılmasının kapsamı nedeniyle sınırlı olsa da, araştırmalarımız aynı zamanda 2022’nin başlarına kadar uzanan ilgili daha önceki izinsiz giriş faaliyetlerine dair kanıtlar da buldu” diye yazdı. “Bu, tehdit aktörlerinin ağ içindeki yönetilmeyen varlıklara uzun süredir erişime sahip olduğundan şüphelenmemize yol açtı.”
Çin Casusluk Tehdidi Tanıdık Araçlar ve Altyapı Kullanıyor
Crimson Palace kümelerinin Çinli tehdit aktörleri BackdoorDiplomacy, REF5961, Worok, TA428, Unfading Sea Haze ve APT41 alt grubu Earth Longzhi ile bağlantılı araçları ve altyapıyı kullandığı tespit edildi. Raporda, Sophos’un “Güney Çin Denizi’ndeki stratejilerle ilgili askeri belgeler de dahil olmak üzere, istihbarat değeri olduğunu gösteren dosya adlarına sahip belgeleri toplamaya çalışan aktörleri gözlemlediği” belirtildi.
“Şu anda bu kümeler arasındaki ilişkinin doğasını yüksek düzeyde güvenilir bir şekilde ilişkilendiremesek veya teyit edemiyor olsak da, mevcut araştırmamız kümelerin, Çin devletinin çıkarlarını takip eden paralel hedeflerle merkezi bir otorite tarafından görevlendirilen ayrı aktörlerin çalışmalarını yansıttığını gösteriyor.” ” diye yazdı araştırmacılar.
Cluster Bravo kısa ömürlü gibi görünüyor ve yalnızca Mart 2023’te faaliyet gösterdiği gözlemlendi. Cluster Alpha’nın bilinen son aktif implantı Ağustos 2023’te C2 iletişimini durdurdu, “ve kurban ağında faaliyet kümesinin yeniden ortaya çıktığını görmedik. Ancak aynı şey Cluster Charlie için söylenemez.” Cluster Charlie en azından Nisan 2024’e kadar aktifti.
Araştırmacılar, “Birkaç haftalık uyku halinin ardından, Cluster Charlie’deki aktörlerin bir web kabuğu aracılığıyla ağa yeniden sızdıklarını ve faaliyetlerine daha yüksek bir tempoda ve daha kaçamak bir şekilde devam ettiklerini gözlemledik” dedi. Faaliyetler sızma çabalarını içeriyordu ve “aktörler, implantlarını uzun süre disklerde bırakmak yerine, oturumları için ağa yeniden nüfuz etmek amacıyla web kabuklarının farklı örneklerini kullandılar ve farklı C2 kanallarını ve implantları yerleştirme yöntemlerini modüle etmeye başladılar. hedef sistemlerde.”
Kümelerin kendi davranış kalıpları olsa da, “operasyonların zamanlaması ve tehlikeye atılan altyapı ve hedeflerdeki örtüşmeler, çevredeki kümeler arasında en azından bir düzeyde farkındalık ve/veya koordinasyon olduğunu gösteriyor” diye yazdılar.
Araştırmacılar, aşağıda yeniden yayınlanan bir Venn şemasında kümeler arasındaki farklılıkları ve örtüşmeleri ayrıntılı olarak açıkladılar.
Çin Casusluk Tehdidi Yeni Kötü Amaçlı Yazılım, DLL ve Kaçırma Kullanıyor
Çinli casusluk tehdidi aktörlerinin taktikleri arasında kritik BT sistemlerine erişim, belirli kullanıcılar üzerinde keşif yapılması, hassas askeri ve teknik bilgilerin toplanması ve komuta ve kontrol (C2) iletişimleri için çeşitli kötü amaçlı yazılım implantlarının konuşlandırılması yer alıyor.
Sophos araştırmacıları, tehdit aktörlerinin araçları ve taktikleri hakkında üç önemli bulguya dikkat çekti.
Yeni kötü amaçlı yazılım çeşitleri: Araştırmacılar, daha önce bildirilmemiş, CCoreDoor adını verdikleri ve BitDefender ve PocoProxy tarafından eş zamanlı olarak keşfedilen kötü amaçlı yazılımın ve “hedeflenen kuruluşun ağındaki antivirüs (AV) sağlayıcı alan adlarıyla iletişimi kara delik oluşturma” yeteneğine sahip güncellenmiş bir EAGERBEE kötü amaçlı yazılım türünün kullanıldığını belirlediler. Belirttikleri diğer kötü amaçlı yazılım türleri arasında NUPAKAGE, Merlin C2 Agent, Cobalt Strike, PhantomNet arka kapısı, RUDEBIRD kötü amaçlı yazılımı ve PowHeartBeat arka kapısı yer alıyor.
Kapsamlı dinamik bağlantı kitaplığı (DLL): Araştırmacılar, çoğu Windows Hizmetlerini, yasal Microsoft ikili dosyalarını ve AV satıcı yazılımlarını kötüye kullanan 15’ten fazla farklı DLL yan yükleme senaryosunu gözlemledi.
Kaçınma taktikleri ve araçlarının önceliklendirilmesi: Araştırmacılar, “Sophos AV aracı sürecini çekirdekten çıkarmak için bellekteki dll’nin üzerine yazmak, AV yazılımını yan yükleme için kötüye kullanmak ve yüklerini yürütmenin en verimli ve kaçamak yöntemlerini test etmek için çeşitli teknikleri kullanmak gibi birçok yeni kaçırma tekniğine” dikkat çekti.
Sophos, tehdidi araştıran çalışmaları için 10 araştırmacıdan alıntı yaptı: Colin Cowie, Jordon Olness, Hunter Neal, Andrew Jaeger, Pavle Culum, Kostas Tsialemis ve Sophos Managed Detection and Response’tan Daniel Souter ve Gabor Szappanos, Andrew Ludgate ve Steeve Gaudreault. SophosLabs.