Çin Destekli Earth Bakü, Siber Saldırıları Avrupa, Orta Doğu ve Afrika'ya Genişletiyor

Faaliyetin bir parçası olarak yeni hedef alınan ülkeler arasında İtalya, Almanya, BAE ve Katar yer alırken, Gürcistan ve Romanya'da da şüpheli saldırılar tespit edildi. Hükümetler, medya ve iletişim, telekom, teknoloji, sağlık ve eğitim, izinsiz giriş setinin bir parçası olarak seçilen sektörlerden bazılarıdır.

Trend Micro araştırmacıları Ted Lee ve Theo Chen, geçen hafta yayınlanan bir analizde, "Grup, daha yeni kampanyalarda araçlarını, taktiklerini ve prosedürlerini (TTP'ler) güncelledi, IIS sunucuları gibi halka açık uygulamaları saldırılar için giriş noktaları olarak kullandı ve ardından kurbanın ortamına karmaşık kötü amaçlı yazılım araç setleri yerleştirdi" dedi.

Bulgular, Zscaler ve Google'a ait Mandiant'ın tehdit aktörünün DodgeBox (diğer adıyla DUSTPAN) ve MoonWalk (diğer adıyla DUSTTRAP) gibi kötü amaçlı yazılım ailelerini kullanımını da ayrıntılarıyla anlatan son raporlarına dayanıyor. Trend Micro onlara StealthReacher ve SneakCross takma adlarını verdi.

APT41 ile ilişkili bir tehdit aktörü olan Earth Baku, Ekim 2020'ye kadar StealthVector kullanımıyla biliniyor. Saldırı zincirleri, Godzilla web kabuğunu bırakmak için halka açık uygulamalardan yararlanılmasını içerir ve bu kabuk daha sonra takip yüklerini iletmek için kullanılır.

StealthReacher, modüler bir implant olan SneakCross'u başlatmaktan sorumlu olan ve komut ve kontrol (C2) iletişimi için Google hizmetlerinden yararlanan ScrambleCross'un muhtemel halefi olan StealthVector arka kapı yükleyicisinin geliştirilmiş bir versiyonu olarak sınıflandırılmıştır.

Saldırılar ayrıca ioxRakshasa gibi diğer istismar sonrası araçların ve Tailscale olarak bilinen bir Sanal Özel Ağ (VPN) hizmetinin kullanılmasıyla da karakterize edilir. Hassas verilerin MEGA bulut depolama hizmetine sızdırılması, MEGAcmd adlı bir komut satırı yardımcı programı aracılığıyla gerçekleştirilir.

Araştırmacılar, "Grup, arka kapı bileşenlerini gizlice başlatmak için StealthVector ve StealthReacher gibi yeni yükleyiciler kullandı ve en son modüler arka kapı olarak SneakCross'u ekledi" dedi.

"Earth Baku ayrıca, sömürü sonrası sırasında özelleştirilmiş bir iox aracı, Rakshasa, kalıcılık için TailScale ve verimli veri hırsızlığı için MEGAcmd dahil olmak üzere çeşitli araçlar kullandı."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği