02 Haziran 2023Ravie LakshmananKötü Amaçlı Yazılım / Siber Tehdit
Olarak bilinen Çin ulus-sahne grubu Camaro Ejderhası istihbarat toplama hedeflerine ulaşmak için tasarlanmış başka bir arka kapıyla bağlantılı.
İsrailli siber güvenlik firması Check Point, lakaplı Go tabanlı kötü amaçlı yazılım TinyNote, “PowerShell veya Goroutines aracılığıyla temel makine numaralandırma ve komut yürütme” yeteneğine sahip birinci aşama bir yük olarak işlev gördüğünü söyledi.
Kötü amaçlı yazılımın gelişmişlik açısından eksikliğini, birden fazla kalıcılık görevi ve farklı sunucularla iletişim kurmak için çeşitli yöntemler aracılığıyla güvenliği ihlal edilmiş ana bilgisayara erişimi korumak için gereksiz yöntemler oluşturmaya geldiğinde telafi eder.
Camaro Dragon, en az 2012’den beri aktif olduğu bilinen Çin’den devlet destekli bir grup olan Mustang Panda olarak geniş çapta izlenen bir tehdit aktörüyle örtüşüyor.
Tehdit aktörü yakın zamanda, TP-Link yönlendiricilerini komut ve kontrol (C2) sunucularına ve sunucularından komutları iletebilen bir ağ ağına dahil eden Horse Shell adlı özel bir ısmarlama ürün yazılımı implantı için ilgi odağı oldu.
Başka bir deyişle amaç, virüs bulaşmış bilgisayarlarla iletişimin farklı bir düğümden yayılmasına izin veren ara altyapı olarak güvenliği ihlal edilmiş ev yönlendiricilerini kullanarak kötü niyetli etkinliği gizlemektir.
En son bulgular, farklı hedeflerin savunmasını aşmak için kullanılan özel araçların karışımı bir yana, hem saldırganların kaçınma taktiklerinin hem de hedeflemenin karmaşıklığının geliştiğini ve arttığını gösteriyor.
TinyNote arka kapısı, dış ilişkilerle ilgili adlar kullanılarak dağıtılır (örneğin, “PDF_ Davet Edilen Deplomatik Üyelerin Kişi Listesi”) ve muhtemelen Güneydoğu ve Doğu Asya büyükelçiliklerini hedefler. Aynı zamanda Golang’da yazılmış bilinen ilk Mustang Panda eseridir.
Kötü amaçlı yazılımın kayda değer bir yönü, Smadav adlı bir Endonezya antivirüs çözümünü özel olarak atlayabilmesidir; bu da, yüksek hazırlık düzeyinin ve kurbanların ortamlarına ilişkin derin bilgisinin altını çizer.
Check Point, “TinyNote arka kapısı, Camaro Dragon’un hedeflenen yaklaşımını ve amaçlanan kurbanlarının sistemlerine sızmadan önce yürüttükleri kapsamlı araştırmayı vurguluyor” dedi.
“Bu arka kapının farklı teknik ilerleme seviyelerine sahip diğer araçlarla birlikte eşzamanlı kullanımı, tehdit aktörlerinin aktif olarak saldırı cephaneliklerini çeşitlendirmeye çalıştıkları anlamına geliyor.”
Açıklama ThreatMon olarak geliyor açıkta APT41’in (namı diğer Wicked Panda) arazi dışında yaşama (LotL) adı verilen meşru bir Windows yürütülebilir dosyasından yararlanarak bir PowerShell arka kapısı başlatma teknikleri forfiles.
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve güçlü güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Hepsi bu değil. G20 ülkelerinden üst düzey hükümet yetkilileri, Sharp Panda olarak adlandırılan başka bir Çinli tehdit aktörü tarafından düzenlenen yeni bir kimlik avı kampanyasının hedefi olarak ortaya çıktı. Cyble.
E-postalar, Royal Road Rich Text Format (RTF) silah aracını kullanarak bir sonraki aşama indiriciyi C2 sunucusundan almak için uzak şablon enjeksiyon yöntemini kullanan sözde resmi belgelerin bubi tuzaklı sürümlerini içeriyor.
Check Point tarafından yakın zamanda Güneydoğu Asya’daki devlet kurumlarına yönelik saldırılarda kanıtlandığı gibi, yukarıda belirtilen enfeksiyon zincirinin önceki Sharp Panda etkinliğiyle tutarlı olduğunu belirtmekte fayda var.
Dahası, Halk Kurtuluş Ordusu (PLAÇin’in Batı’ya karşı stratejik bir avantaj elde etmek için askeri istihbarat amacıyla internetten ve diğer kaynaklardan elde edilen açık kaynaklı bilgileri kullandığı tespit edildi.
“PL’nin kullanımı OSINT Batı’nın açık bilgi ortamı PLA’nın büyük miktarlarda açık kaynaklı veriyi kolayca toplamasına izin verdiğinden, Batı orduları Çin’in kapalı bilgi ortamıyla mücadele etmek zorunda kaldığından, büyük olasılıkla ona bir istihbarat avantajı sağlıyor.” kayıt edilmiş.
Analiz, Ocak 2019 ile Ocak 2023 arasında yayınlanan 50 PLA ve Çin savunma sanayi tedarik kaydı listesinden yararlanıyor.
Şirket, “Ticari veri sağlayıcıları, Çin’in askeri ve savunma endüstrisinin verilerini istihbarat amacıyla satın alabileceğinin farkında olmalı ve verilerini Çin’deki kuruluşlara satarken durum tespiti yapmayı düşünmelidir” dedi.