Çin Devlet Hackerları Tibetlileri Tedarik Zinciri, Watering Hole Saldırılarıyla Hedef Alıyor
Evasive Panda olarak bilinen Çin bağlantılı tehdit aktörü, en azından Eylül 2023'ten bu yana Tibetli kullanıcıları hedef alan hem su birikintisi hem de tedarik zinciri saldırıları düzenledi.
Saldırıların nihai amacı, Windows ve macOS için MgBot adlı bilinen bir arka kapıyı ve Nightdoor olarak bilinen daha önce belgelenmemiş bir Windows implantını dağıtan kötü amaçlı indiriciler sunmaktır.
Bulgular, saldırganların su birikintisi saldırılarının yanı sıra Tibetli bir yazılım şirketinin tedarik zincirini ele geçirmek için en az üç web sitesini tehlikeye attığını söyleyen ESET'ten geliyor. Operasyon Ocak 2024'te keşfedildi.
2012'den beri aktif olan ve Bronze Highland ve Daggerfly olarak da bilinen Evasive Panda, daha önce Nisan 2023'te Slovak siber güvenlik firması tarafından MgBot ile Çin Anakarası'ndaki uluslararası bir sivil toplum kuruluşunu (STK) hedef aldığı açıklanmıştı.
Aynı zamanda Broadcom'a ait Symantec'ten gelen bir başka rapor, düşmanı en azından Kasım 2022'den bu yana Afrika'daki telekom hizmetleri sağlayıcılarına sızmayı amaçlayan bir siber casusluk kampanyasına dahil etti.
En son siber saldırılar, Kagyu International Monlam Trust'ın web sitesinin ("www.kagyumonlam[.] org").
ESET araştırmacıları, "Saldırganlar, web sitesine potansiyel kurbanın IP adresini doğrulayan bir komut dosyası yerleştirdi ve hedeflenen adres aralıklarından birindeyse, kullanıcıyı bir 'düzeltme' adlı sertifika indirmeye ikna etmek için sahte bir hata sayfası gösteriyor" dedi.
"Bu dosya, uzlaşma zincirinde bir sonraki aşamayı dağıtan kötü amaçlı bir indiricidir." IP adresi kontrolleri, saldırının özellikle Hindistan, Tayvan, Hong Kong, Avustralya ve ABD'deki kullanıcıları hedef almak için tasarlandığını gösteriyor.
Evasive Panda'nın, çeşitli ülke ve bölgelerdeki Tibet topluluğunu hedef almak için Ocak ayı sonlarında ve Şubat 2024'te Hindistan'da gerçekleşen yıllık Kagyu Monlam Festivali'nden yararlandığından şüpheleniliyor.
Windows'ta "certificate.exe" ve macOS için "certificate.pkg" olarak adlandırılan yürütülebilir dosya, daha sonra komut ve kontrol (C2) için Google Drive API'sini kötüye kullanan Nightdoor implantını yüklemek için bir başlatma rampası görevi görür.
Buna ek olarak, kampanya Hintli bir yazılım şirketinin web sitesine sızmak için dikkate değerdir ("monlamit[.] com") ve Tibetçe çeviri yazılımının truva atı haline getirilmiş Windows ve macOS yükleyicilerini dağıtmak için tedarik zinciri. Uzlaşma Eylül 2023'te gerçekleşti.
"Saldırganlar aynı web sitesini ve Tibetpost – tibetpost adlı bir Tibet haber sitesini de kötüye kullandılar. net – Windows için iki tam özellikli arka kapı ve macOS için bilinmeyen sayıda yük dahil olmak üzere kötü amaçlı indirmeler tarafından elde edilen yükleri barındırmak için" dedi.
Truva atı haline getirilmiş Windows yükleyicisi, işaretleri 2020 gibi erken bir tarihte tespit edilen MgBot veya Nightdoor'u düşürmek için karmaşık bir çok aşamalı saldırı dizisini tetikler.
Arka kapı, sistem bilgilerini, yüklü uygulamaların listesini ve çalışan işlemleri toplamak için özelliklerle donatılmıştır; Ters bir kabuk oluşturun, dosya işlemlerini gerçekleştirin ve virüslü sistemden kendini kaldırın.
ESET, "Saldırganlar, yalnızca Evasive Panda tarafından kullanılan MgBot ve grubun araç setine en son eklenen ve Doğu Asya'daki çeşitli ağları hedeflemek için kullanılan Nightdoor da dahil olmak üzere çeşitli indiriciler, damlalıklar ve arka kapılar kullandı" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı