Çin bağlantılı casuslar savunma bilgilerini çalmak için altı arka kapı kullandı • The Register


Kaspersky araştırmacılarına göre, Pekin destekli siber casuslar, özel olarak hazırlanmış kimlik avı e-postaları ve altı farklı arka kapı kullanarak askeri ve endüstriyel gruplara, devlet kurumlarına ve diğer kamu kurumlarına ait gizli verileri ele geçirdi.

Güvenlik mağazasının endüstriyel kontrol sistemleri (ICS) müdahale ekibinin ilk olarak Ocak ayında Belarus, Rusya ve Ukrayna ve Afganistan dahil olmak üzere birçok Doğu Avrupa ülkesinde bir düzineden fazla kuruluşu tehlikeye atan bir dizi hedefli saldırı tespit ettiği söylendi.

Ekip Pazartesi günü yayınlanan bir raporda, “Saldırganlar düzinelerce işletmeye sızmayı ve hatta bazılarının BT altyapısını ele geçirmeyi başardılar ve güvenlik çözümlerini yönetmek için kullanılan sistemlerin kontrolünü ele geçirdiler” dedi.

Kaspersky atfedilen Çin siber suç çetesine “yüksek derecede güvenle” saldırılar TA428Doğu Asya ve Rus askeri ve araştırma enstitülerini hedef alan bir geçmişi olan .

ICS araştırma ekibi, Çin merkezli kötü amaçlı yazılım ve komuta ve kontrol sunucularını belirledi ve bu daha yeni saldırı dizisinin, daha önce diğer araştırma ekipleri tarafından tespit edilen, devam eden bir siber casusluk kampanyasının bir uzantısı olma olasılığının yüksek olduğunu ekledi.

Ayrıca, dublajlı başka bir kampanyaya çok benziyorlar. bükülmüş pandaÇin siber casusları tarafından yürütülen ve Rus savunma enstitülerini hedef alan, Mayıs ayında Check Point Research tarafından ortaya çıkarıldı.

Kaspersky’ye göre, kötü niyetli kişiler, bazıları kamuya açık olmayan kuruluşa özel bilgileri içeren kimlik avı e-postaları yoluyla kurumsal ağlara erişim kazandı.

Araştırmacılar, “Bu, saldırganların önceden hazırlık çalışması yaptığını gösterebilir (aynı kuruluşa veya çalışanlarına veya diğer kuruluşlara veya kurban kuruluşla ilişkili kişilere yönelik daha önceki saldırılarda bilgileri elde etmiş olabilirler),” dedi.

Muhtemelen, bu özel olarak tasarlanmış saldırılar kurban kuruluşla ilgili gizli bilgiler içerdiğinden, saldırganların bazı çalışanları e-postayı ve buna ekli bir Microsoft Word belgesini açmaları için kandırması daha kolaydı. Word belgesi, kötü amaçlı kod içeriyordu. CVE-2017-11882 PortDoor kötü amaçlı yazılımını herhangi bir ek kullanıcı etkinliği olmadan virüslü makineye dağıtma güvenlik açığı. Örneğin, bu tür saldırılarda olduğu gibi kullanıcının makroları etkinleştirmesine gerek yoktu.

Liman Kapısı kötü amaçlı yazılım, Çin devlet destekli gruplar tarafından geliştirildiğine inanılan ve 2021’de Rusya Federasyonu Donanması için nükleer denizaltılar tasarlayan Rus merkezli bir savunma yüklenicisine yönelik bir kimlik avı saldırısında da kullanılan nispeten yeni bir arka kapıdır.

Kaspersky, ekibinin kalıcılık sağlayan yeni bir PortDoor sürümünü tanımladığını, ardından virüslü bilgisayar hakkında bilgi topladığını ve ek kötü amaçlı yazılım yüklerken sistemi uzaktan kontrol etmek için kullanılabileceğini söylüyor.

Saldırganlar, PortDoor’a ek olarak, virüslü sistemleri kontrol etmek ve gizli verileri çalmak için altı arka kapı daha kullandı. Bunlardan bazıları (nccTrojan, Logtu, Cotx ve DNSep) daha önce TA428’e atfedilmiştir. Ancak, dublajlı altıncı bir arka kapı BebekDolandırıcılığıKaspersky’ye göre yeni.

İlk bilgisayara bulaştıktan sonra, kötü niyetli kişiler, kötü amaçlı yazılımları kurumsal ağdaki diğer cihazlara yaymak için saldırıda daha önce çalınan kimlik bilgilerini kullanarak yanal olarak hareket etti. Ve bize söylendiğine göre bu yanal hareket için ağ taraması, güvenlik açığı arama yetenekleri, istismar, parola saldırısı ve diğer zararlı işlevleri birleştiren Ladon hack aracını kullandılar.

Kaspersky, Çinli siber suçlular arasında popüler olduğu bildirilen Ladon yardımcı programının bu şekilde kullanılmasına, bu casusluk çabalarının arkasında TA42’nin olduğunun bir başka göstergesi olarak işaret ediyor.

Virüs bulaşmış makinelere yönetici ayrıcalıkları kazandıktan sonra, suçlular, bu dosyaları farklı ülkelerde barındırılan sunuculara yüklemeden önce kurban kuruluşla ilgili hassas verileri içeren dosyaları manuel olarak aradı ve çalmak için seçti. Bu sunucular daha sonra özel bilgileri Çin’deki ikinci aşama sunucuya iletti.

Kaspersky, “Saldırganların bir miktar başarı elde ettiği göz önüne alındığında, gelecekte benzer saldırıların tekrarlanma olasılığının yüksek olduğuna inanıyoruz” diye uyardı. Sanayi kuruluşları ve kamu kurumları, bu tür saldırıları başarılı bir şekilde engellemek için çok çalışmalıdır” dedi. ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/08/09/china_apt_kaspersky/

Yorum yapın