Çin Destekli Earth Bakü, Siber Saldırıları Avrupa, Orta Doğu ve Afrika'ya Genişletiyor
Earth Baku olarak bilinen Çin destekli tehdit aktörü, 2022'nin sonlarından itibaren hedef ayak izini Hint-Pasifik bölgesinin ötesinde Avrupa, Orta Doğu ve Afrika'yı içerecek şekilde çeşitlendirdi.
Faaliyetin bir parçası olarak yeni hedef alınan ülkeler arasında İtalya, Almanya, BAE ve Katar yer alırken, Gürcistan ve Romanya'da da şüpheli saldırılar tespit edildi. Hükümetler, medya ve iletişim, telekom, teknoloji, sağlık ve eğitim, izinsiz giriş setinin bir parçası olarak seçilen sektörlerden bazılarıdır.
Trend Micro araştırmacıları Ted Lee ve Theo Chen, geçen hafta yayınlanan bir analizde, "Grup, daha yeni kampanyalarda araçlarını, taktiklerini ve prosedürlerini (TTP'ler) güncelledi, IIS sunucuları gibi halka açık uygulamaları saldırılar için giriş noktaları olarak kullandı ve ardından kurbanın ortamına karmaşık kötü amaçlı yazılım araç setleri yerleştirdi" dedi.
Bulgular, Zscaler ve Google'a ait Mandiant'ın tehdit aktörünün DodgeBox (diğer adıyla DUSTPAN) ve MoonWalk (diğer adıyla DUSTTRAP) gibi kötü amaçlı yazılım ailelerini kullanımını da ayrıntılarıyla anlatan son raporlarına dayanıyor. Trend Micro onlara StealthReacher ve SneakCross takma adlarını verdi.
APT41 ile ilişkili bir tehdit aktörü olan Earth Baku, Ekim 2020'ye kadar StealthVector kullanımıyla biliniyor. Saldırı zincirleri, Godzilla web kabuğunu bırakmak için halka açık uygulamalardan yararlanılmasını içerir ve bu kabuk daha sonra takip yüklerini iletmek için kullanılır.
StealthReacher, modüler bir implant olan SneakCross'u başlatmaktan sorumlu olan ve komut ve kontrol (C2) iletişimi için Google hizmetlerinden yararlanan ScrambleCross'un muhtemel halefi olan StealthVector arka kapı yükleyicisinin geliştirilmiş bir versiyonu olarak sınıflandırılmıştır.
Saldırılar ayrıca iox, Rakshasa gibi diğer istismar sonrası araçların ve Tailscale olarak bilinen bir Sanal Özel Ağ (VPN) hizmetinin kullanılmasıyla da karakterize edilir. Hassas verilerin MEGA bulut depolama hizmetine sızdırılması, MEGAcmd adlı bir komut satırı yardımcı programı aracılığıyla gerçekleştirilir.
Araştırmacılar, "Grup, arka kapı bileşenlerini gizlice başlatmak için StealthVector ve StealthReacher gibi yeni yükleyiciler kullandı ve en son modüler arka kapı olarak SneakCross'u ekledi" dedi.
"Earth Baku ayrıca, sömürü sonrası sırasında özelleştirilmiş bir iox aracı, Rakshasa, kalıcılık için TailScale ve verimli veri hırsızlığı için MEGAcmd dahil olmak üzere çeşitli araçlar kullandı."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı