Çince Konuşan Hacker Grubu Orta Doğu'daki İnsan Hakları Çalışmalarını Hedef Aldı

Kaspersky güvenlik araştırmacısı Sherif Magdy, "Bu grubun [Taktikler, Teknikler ve Prosedürleri] Orta Doğu'daki kritik devlet kurumlarında, özellikle de insan hakları çalışmalarıyla ilgili olanlarda görmek, onlar için yeni bir stratejik hamleye işaret ediyor" dedi.

Rus siber güvenlik satıcısı, etkinliği Haziran 2024'te, güvenliği ihlal edilmiş sunuculara uzaktan erişim için Çince konuşan birçok tehdit aktörü tarafından paylaşılan bir araç olan China Chopper web Shell'in yeni bir sürümünü, Umbraco adlı açık kaynaklı bir içerik yönetim sistemini (CMS) barındıran halka açık bir web sunucusunda keşfettikten sonra tespit ettiğini söyledi.

Saldırı zinciri, ESET tarafından Eylül 2021'de belgelenen SparrowDoor arka kapısının bir çeşidi olan Crowdoor adlı bir kötü amaçlı yazılım implantı sunmak üzere tasarlanmıştır. Çabalar sonuçta başarısız oldu.

APT23, Earth Centaur, KeyBoy ve Pirate Panda adlarıyla da bilinen Tropic Trooper, Tayvan, Hong Kong ve Filipinler'deki hükümet, sağlık, ulaşım ve yüksek teknoloji endüstrilerini hedeflemesiyle tanınır. Çince konuşan kolektifin 2011'den beri aktif olduğu ve FamousSparrow olarak izlenen başka bir izinsiz giriş grubuyla yakın bağları olduğu değerlendiriliyor.

Kaspersky tarafından vurgulanan en son izinsiz giriş, China Chopper web kabuğunu Umbraco CMS'nin bir .NET modülü olarak derlemek için önemlidir ve takip eden istismar, DLL yandan yükleme tekniklerini kullanarak Crowdoor'u başlatmadan önce ağ taraması, yanal hareket ve savunmadan kaçınma araçlarının konuşlandırılmasına yol açar.

Web kabuklarının, Adobe ColdFusion (CVE-2023-26360) ve Microsoft Exchange Server (CVE-2021-34473CVE-2021-34523 ve CVE-2021-31207) gibi genel erişime açık web uygulamalarındaki bilinen güvenlik açıklarından yararlanılarak sağlandığından şüpheleniliyor.

İlk olarak Haziran 2023'te gözlemlenen Crowdoor, aynı zamanda Cobalt Strike'ı düşürmek ve virüslü ana bilgisayarlarda kalıcılığı sürdürmek için bir yükleyici görevi görürken, aynı zamanda hassas bilgileri toplamak, ters bir kabuk başlatmak, diğer kötü amaçlı yazılım dosyalarını silmek ve kendini sonlandırmak için bir arka kapı görevi görür.

Magdy, "Aktör arka kapılarının tespit edildiğinin farkına vardığında, tespit edilmekten kaçınmak için daha yeni örnekler yüklemeye çalıştılar ve böylece yeni örnek setlerinin yakın gelecekte tespit edilme riskini artırdılar" dedi.

"Bu saldırının önemi, Orta Doğu'da insan hakları üzerine çalışmalar yayınlayan ve özellikle İsrail-Hamas çatışması etrafındaki duruma odaklanan bir içerik yönetim platformunu hedef alan Çince konuşan bir aktörün görülmesinde yatıyor."

"Bu izinsiz girişle ilgili analizimiz, tüm bu sistemin saldırı sırasında tek hedef olduğunu ortaya çıkardı ve bu da bu belirli içeriğe kasıtlı olarak odaklanıldığını gösteriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği