Siber Muhbir

Bronze Highland, Daggerfly ve StormBamboo adlarıyla da bilinen Evasive Panda, en az 2012'den beri aktif olan ve hassas bilgileri toplamak için MgBot (diğer adıyla POCOSTICK) ve Nightdoor (diğer adıyla NetMM ve Suzafk) gibi arka kapılardan yararlanan bir siber casusluk grubudur.

Daha yakın zamanlarda, tehdit aktörü resmi olarak, 2021 yılına kadar vahşi doğada gözlemlenen MACMA adlı bir macOS kötü amaçlı yazılım türünün kullanımına bağlandı.

Volexity, geçen hafta yayınlanan bir raporda, "StormBamboo, amaçlanan hedefleri ihlal etmek için üçüncü tarafları (bu durumda bir İSS) tehlikeye atan son derece yetenekli ve agresif bir tehdit aktörüdür" dedi.

"Bu tehdit aktörü tarafından çeşitli kampanyalarda kullanılan kötü amaçlı yazılımların çeşitliliği, yalnızca macOS ve Windows için değil, aynı zamanda ağ cihazları için de aktif olarak desteklenen yüklerle önemli çaba harcandığını gösteriyor."

ESET ve Symantec'in son iki yıldaki kamuya açık raporları, Evasive Panda'nın MgBot kullanımını ve Tibetli kullanıcıları hedef alan su birikintisi ve tedarik zinciri saldırılarını düzenleme konusundaki sicilini belgeledi.

Ayrıca, Tencent QQ gibi meşru uygulamaların güncelleme kanalları aracılığıyla sunulan MgBot ile Çin Anakarası'ndaki uluslararası bir sivil toplum kuruluşunu (STK) hedef aldığı tespit edildi.

Truva atı haline getirilen güncellemelerin ya Tencent QQ'nun güncelleme sunucularının tedarik zincirinden ödün vermesinin bir sonucu olduğu ya da bir ortadaki düşman (AitM) saldırısı vakası olduğu tahmin edilse de, Volexity'nin analizi, ikincisinin ISP düzeyinde bir DNS zehirlenmesi saldırısından kaynaklandığını doğruluyor.

Özellikle, tehdit aktörünün, otomatik yazılım güncelleme mekanizmalarına bağlı belirli etki alanları için DNS sorgu yanıtlarını değiştirdiği, HTTP gibi güvenli olmayan güncelleme mekanizmaları kullanan veya yükleyicilerin yeterli bütünlük kontrollerini uygulamayan yazılımların peşinden gittiği söyleniyor.

Araştırmacılar Ankur Saini, Paul Rascagneres, Steven Adair ve Thomas Lancaster, "StormBamboo'nun bir HTTP otomatik güncelleme mekanizması aracılığıyla kötü amaçlı yazılım dağıtmak için DNS isteklerini zehirlediği ve ikinci aşama, komuta ve kontrol (C2) sunucuları olarak kullanılan meşru ana bilgisayar adları için zehir yanıtları olduğu keşfedildi" dedi.

Saldırı zincirleri, güvenli olmayan güncelleme mekanizmalarının, kullanılan işletim sistemine bağlı olarak MgBot veya MACMA sağlamak için kötüye kullanılması nedeniyle oldukça basittir. Volexity, DNS zehirlenmesi saldırısını düzeltmek için ilgili ISS'yi bilgilendirdiğini söyledi.

Bir örnek, Güvenli Tercihler dosyasını değiştirerek kurbanın macOS cihazına bir Google Chrome uzantısının dağıtılmasını da gerektiriyordu. Tarayıcı eklentisi, bir sayfayı Internet Explorer ile uyumluluk modunda yükleyen bir araç olduğunu iddia ediyor, ancak asıl amacı, tarayıcı çerezlerini düşman tarafından kontrol edilen bir Google Drive hesabına sızdırmaktır.

MACMA'nın en son sürümlerinin, Asya'daki kuruluşlara saldırdığı bilinen ve Storm Cloud olarak adlandırılan Çin siber casusluk odaklı bir tehdit kümesiyle bağlantılı olan Gimmick adlı başka bir çok platformlu kötü amaçlı yazılımla benzerlikler paylaştığı gözlemlendi.

Araştırmacılar, "Saldırgan, DNS isteklerini yakalayabilir ve bunları kötü amaçlı IP adresleriyle zehirleyebilir ve daha sonra bu tekniği HTTPS yerine HTTP kullanan otomatik güncelleme mekanizmalarını kötüye kullanmak için kullanabilir" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.