Çin Devlet Hackerları Tibetlileri Tedarik Zinciri, Watering Hole Saldırılarıyla Hedef Alıyor

Saldırıların nihai amacı, Windows ve macOS için MgBot adlı bilinen bir arka kapıyı ve Nightdoor olarak bilinen daha önce belgelenmemiş bir Windows implantını dağıtan kötü amaçlı indiriciler sunmaktır.

Bulgular, saldırganların su birikintisi saldırılarının yanı sıra Tibetli bir yazılım şirketinin tedarik zincirini ele geçirmek için en az üç web sitesini tehlikeye attığını söyleyen ESET'ten geliyor. Operasyon Ocak 2024'te keşfedildi.

2012'den beri aktif olan ve Bronze Highland ve Daggerfly olarak da bilinen Evasive Panda, daha önce Nisan 2023'te Slovak siber güvenlik firması tarafından MgBot ile Çin Anakarası'ndaki uluslararası bir sivil toplum kuruluşunu (STK) hedef aldığı açıklanmıştı.

Aynı zamanda Broadcom'a ait Symantec'ten gelen bir başka rapor, düşmanı en azından Kasım 2022'den bu yana Afrika'daki telekom hizmetleri sağlayıcılarına sızmayı amaçlayan bir siber casusluk kampanyasına dahil etti.

En son siber saldırılar, Kagyu International Monlam Trust'ın web sitesinin ("www.kagyumonlam[.] org").

ESET araştırmacıları, "Saldırganlar, web sitesine potansiyel kurbanın IP adresini doğrulayan bir komut dosyası yerleştirdi ve hedeflenen adres aralıklarından birindeyse, kullanıcıyı bir 'düzeltme' adlı sertifika indirmeye ikna etmek için sahte bir hata sayfası gösteriyor" dedi.

"Bu dosya, uzlaşma zincirinde bir sonraki aşamayı dağıtan kötü amaçlı bir indiricidir." IP adresi kontrolleri, saldırının özellikle Hindistan, Tayvan, Hong Kong, Avustralya ve ABD'deki kullanıcıları hedef almak için tasarlandığını gösteriyor.

Evasive Panda'nın, çeşitli ülke ve bölgelerdeki Tibet topluluğunu hedef almak için Ocak ayı sonlarında ve Şubat 2024'te Hindistan'da gerçekleşen yıllık Kagyu Monlam Festivali'nden yararlandığından şüpheleniliyor.

Windows'ta "certificate.exe" ve macOS için "certificate.pkg" olarak adlandırılan yürütülebilir dosya, daha sonra komut ve kontrol (C2) için Google Drive API'sini kötüye kullanan Nightdoor implantını yüklemek için bir başlatma rampası görevi görür.

Buna ek olarak, kampanya Hintli bir yazılım şirketinin web sitesine sızmak için dikkate değerdir ("monlamit[.] com") ve Tibetçe çeviri yazılımının truva atı haline getirilmiş Windows ve macOS yükleyicilerini dağıtmak için tedarik zinciri. Uzlaşma Eylül 2023'te gerçekleşti.

"Saldırganlar aynı web sitesini ve Tibetpost – tibetpost adlı bir Tibet haber sitesini de kötüye kullandılar. net – Windows için iki tam özellikli arka kapı ve macOS için bilinmeyen sayıda yük dahil olmak üzere kötü amaçlı indirmeler tarafından elde edilen yükleri barındırmak için" dedi.

Truva atı haline getirilmiş Windows yükleyicisi, işaretleri 2020 gibi erken bir tarihte tespit edilen MgBot veya Nightdoor'u düşürmek için karmaşık bir çok aşamalı saldırı dizisini tetikler.

Arka kapı, sistem bilgilerini, yüklü uygulamaların listesini ve çalışan işlemleri toplamak için özelliklerle donatılmıştır; Ters bir kabuk oluşturun, dosya işlemlerini gerçekleştirin ve virüslü sistemden kendini kaldırın.

ESET, "Saldırganlar, yalnızca Evasive Panda tarafından kullanılan MgBot ve grubun araç setine en son eklenen ve Doğu Asya'daki çeşitli ağları hedeflemek için kullanılan Nightdoor da dahil olmak üzere çeşitli indiriciler, damlalıklar ve arka kapılar kullandı" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği