Çin Bağlantılı Bilgisayar Korsanları, Arka Kapı Blitz ile Myanmar'ın Üst Düzey Bakanlıklarını Hedef Aldı
Mustang Panda olarak bilinen Çin merkezli tehdit aktörünün, arka kapılar ve uzaktan erişim truva atları dağıtmak için tasarlanmış ikiz kampanyaların bir parçası olarak Myanmar Savunma ve Dışişleri Bakanlığı'nı hedef aldığından şüpheleniliyor.
Bulgular, faaliyetlerin Kasım 2023 ve Ocak 2024'te, saldırılarla bağlantılı eserlerin VirusTotal platformuna yüklenmesinin ardından gerçekleştiğini söyleyen CSIRT-CTI'dan geliyor.
CIRT-CTI, "Bu TTP'lerin en belirgin olanı, mühendislik firması Bernecker & Rainer (B&R) tarafından geliştirilen bir ikili dosya ve kötü amaçlı dinamik bağlantı kitaplıklarını (DLL'ler) yandan yüklemek için Windows 10 yükseltme asistanının bir bileşeni de dahil olmak üzere meşru yazılımların kullanılmasıdır" dedi.
En az 2012'den beri aktif olan Mustang Panda, siber güvenlik topluluğu tarafından BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus ve TEMP adlarıyla da tanınmaktadır. Büyü.
Son aylarda, düşman, hassas bilgileri toplayabilen arka kapılar sunmak için Filipinler'in yanı sıra isimsiz bir Güneydoğu Asya hükümetini hedef alan saldırılara bağlandı.
Kasım 2023 enfeksiyon dizisi, orijinal olarak B&R Industrial Automation GmbH tarafından imzalanmış meşru bir yürütülebilir dosya ("NDSC.exe'in üçüncü toplantısının analizi") ve bir DLL dosyası ("BrMod104.dll") içeren bubi tuzaklı bir ZIP arşiv eki taşıyan bir kimlik avı e-postasıyla başlar.
Saldırı, ikilinin sahte DLL'yi yandan yüklemek ve ardından bir komuta ve kontrol (C2) sunucusuyla kalıcılık ve iletişim kurmak ve PUBLOAD adlı bilinen bir arka kapıyı almak için DLL arama emrinin ele geçirilmesine duyarlı olduğu gerçeğinden yararlanır ve bu da PlugX implantını düşürmek için özel bir yükleyici görevi görür.
CSIRT-CTI, Lab52 tarafından açıklanan Mayıs 2023 kampanyasını yansıtarak, "Tehdit aktörleri, 'Host: www.asia.microsoft.com' ve 'User-Agent: Windows-Update-Agent' başlıklarını ekleyerek [C2] trafiğini Microsoft güncelleme trafiği olarak gizlemeye çalışıyor" dedi.
Öte yandan, bu ayın başlarında gözlemlenen ikinci kampanya, PlugX'i şu anda erişilemeyen bir C2 sunucusundan dağıtmak için TONESHELL adlı başka bir ısmarlama yükleyici kullanan çok aşamalı bir işlemi tetiklemek için LNK kısayollarını içeren bir optik disk görüntüsü ("ASEAN Notes.iso") kullanıyor.
Mustang Panda'ya atfedilen benzer bir saldırı zincirinin daha önce Şubat 2023'te EclecticIQ tarafından Asya ve Avrupa'daki hükümet ve kamu sektörü kuruluşlarını hedef alan izinsiz girişlerde ortaya çıkarıldığını belirtmekte fayda var.
CSIRT-CTI, "[Ekim 2023'te] kuzey Myanmar'daki isyancı saldırılarının ardından Çin, Myanmar-Çin sınırındaki ticaret yolları ve güvenlik üzerindeki etkisine ilişkin endişelerini dile getirdi" dedi.
"Görkemli Toros operasyonlarının, geçmişte Myanmar'a karşı çok sayıda siber casusluk operasyonu da dahil olmak üzere Çin hükümetinin jeopolitik çıkarlarıyla uyumlu olduğu biliniyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı