Çin’in Rusya’nın Ukrayna’daki savaşına verdiği örtülü destek, görünüşe göre Çin destekli siber aktörlerin Rus ordusuna casusluk kampanyaları başlatmasını engellemiyor.
Secureworks’ün Karşı Tehdit Birimi’nden bu hafta araştırmacılar, yakın zamanda Bronze President (diğer adıyla Mustang Panda) olarak bilinen gelişmiş kalıcı tehdidin (APT) şimdi ortaya çıktığını öne süren kötü amaçlı yazılım keşfettiklerini söyledi. Rus askeri personelini ve yetkililerini hedef alıyor. Güvenlik sağlayıcısı, bu çabayı, siyasi değişikliklerin ülkeleri, dostlara ve müttefiklere karşı bile, gizli bilgi toplama çabaları için yeni bölgelere nasıl itebileceğinin bir örneği olarak nitelendirdi.
Siber Casusluk Kampanyası PlugX’i Sunuyor
Rapora göre, harekatta kullanılan ağır şekilde gizlenmiş kötü niyetli yürütülebilir dosya, Rusya’nın 56. Blagoveshchenskiy Kızıl Bayrak Sınır Muhafız Müfrezesine (Rusya’nın Çin sınırına yakın konuşlandırılmış) ilişkin Rusça bir PDF belgesi olarak görünecek şekilde tasarlandı. Secureworks, dosyanın varsayılan Windows ayarlarının .exe uzantısını göstermeyecek şekilde tasarlandığını söyledi.
Secureworks ayrıca, dosya adının kendisi Rusça olmasına rağmen yürütülebilir dosyanın İngilizce yazılmış bir sahte belge görüntülediğini açıkladı. Belge meşru görünüyor ve Belarus sınırındaki üç ülkedeki – Polonya, Litvanya ve Letonya’daki sığınma başvuruları ve göçmen baskısına ilişkin verileri içeriyor. İçerik ayrıca, Avrupa Birliği’nin Ukrayna’daki savaştaki rolü nedeniyle Belarus’a karşı yaptırımlarına ilişkin yorumları da içeriyor.
Yürütüldüğünde, dosya hazırlama sunucusundan üç ek dosya indirir. Bunlardan biri, İngiltere merkezli bir firma olan Global Graphics Software’den yasal olarak imzalanmış bir dosya. Dosya, daha önce Bronze President ile ilişkilendirilmiş bir uzaktan erişim Truva Atı (RAT) olan PlugX’in güncellenmiş bir sürümünü içe aktarmak için DLL arama sırası ele geçirme özelliğini kullanır.
Secureworks istihbarat direktörü Mike McLellan, “DLL arama emri kaçırma yıllardır ortalıkta dolaşıyordu” diyor. “Tehdit aktörleri tarafından, şifrelenmiş bir kötü amaçlı yazılım yükünü yüklemek ve yürütmek için kötü niyetli bir kitaplık dosyası (DLL) ile birlikte, genellikle iyi bilinen bir satıcıya ait meşru bir yürütülebilir dosyayı kötü niyetli olarak kullandıkları iyi bilinen bir tekniktir.”
Tehdit aktörleri bu tekniği kullanır, çünkü güvenliği ihlal edilmiş bir sistemdeki kötü amaçlı yük dosyasının tarayıcıların ve kötü amaçlı yazılımdan koruma yazılımlarının algılayabileceği şekilde asla diskte oturmamasını sağlar.
McLellan, “Bu teknik, uzun yıllardır Çin-bağlantısı tehdit gruplarının temelini oluşturuyor” diyor.
Secureworks, saldırı zincirinin bir parçası olarak, tehdit aktörlerinin meşru imzalanmış dosyayı yürütmeden önce önemli bir gecikme ekleyen bir ping komutu da eklediğini söyledi – dosyalar kurbana indirilirken bir zaman gecikmesi başlatmak için genel bir kaçınma tekniği.
Secureworks’ün tehdit aktörünün mevcut kampanyada kullandığını gözlemlediği hazırlama sunucusu, bu yılın başlarında Proofpoint’in kullandığı bir etki alanına ev sahipliği yapıyor. bir PlugX kampanyasına bağlı Avrupa’daki diplomatik kuruluşlara karşı. Güvenlik sağlayıcısı, kampanyanın Ukrayna’daki savaşla ilgili konulardan da kaynaklandığını belirledi. Aynı etki alanı, Secureworks’ün Vatikan’a karşı gözlemlediği 2020’deki Bronze President saldırılarıyla da bağlantılı.
Bronz Panda İçin Yeni Bir Kurban Seti
Bronze President, araştırmacılara göre en az 2018 yılından beri aktif olan bir tehdit grubu. Secureworks ve diğerleri, grubun Çin merkezli olduğunu ve muhtemelen Çin hükümetinin sponsorluğunda veya Çin hükümetinin bilgisi dahilinde faaliyet gösterdiğini değerlendirdi. Grup, çok sayıda saldırıyla ilişkilendirildi. sivil toplum örgütleri ve diğerleri, çoğunlukla Asya’da, ancak bir dereceye kadar diğer ülkelerde. Örneğin geçen yıl, McAfee’den araştırmacılar, tehdit aktörünün ABD, Asya ve Avrupa’daki telekomünikasyon şirketlerini hedef alan büyük bir siber casusluk operasyonu yürüttüğünü tespit etti.
McLellan’a göre en son kampanya, Rus varlıklarını hedef aldığı için grup için olağandan bir ayrılmayı temsil ediyor: “Bu, Bronz Başkanın yaklaşık %90’ının Myanmar’a odaklandığı son iki yılda gördüklerimizden önemli ölçüde farklı ve Vietnam. Asya bölgesinde hala bir misyonları olduğuna inanıyoruz, ancak bu onlar için biraz ayrılık oldu.”