Çince Konuşan Hacker Grubu Orta Doğu'daki İnsan Hakları Çalışmalarını Hedef Aldı
Orta Doğu ve Malezya'daki isimsiz devlet kurumları, Haziran 2023'ten bu yana Tropic Trooper olarak bilinen bir tehdit aktörü tarafından düzenlenen kalıcı bir siber kampanyanın hedefi.
Kaspersky güvenlik araştırmacısı Sherif Magdy, "Bu grubun [Taktikler, Teknikler ve Prosedürleri] Orta Doğu'daki kritik devlet kurumlarında, özellikle de insan hakları çalışmalarıyla ilgili olanlarda görmek, onlar için yeni bir stratejik hamleye işaret ediyor" dedi.
Rus siber güvenlik satıcısı, etkinliği Haziran 2024'te, güvenliği ihlal edilmiş sunuculara uzaktan erişim için Çince konuşan birçok tehdit aktörü tarafından paylaşılan bir araç olan China Chopper web Shell'in yeni bir sürümünü, Umbraco adlı açık kaynaklı bir içerik yönetim sistemini (CMS) barındıran halka açık bir web sunucusunda keşfettikten sonra tespit ettiğini söyledi.
Saldırı zinciri, ESET tarafından Eylül 2021'de belgelenen SparrowDoor arka kapısının bir çeşidi olan Crowdoor adlı bir kötü amaçlı yazılım implantı sunmak üzere tasarlanmıştır. Çabalar sonuçta başarısız oldu.
APT23, Earth Centaur, KeyBoy ve Pirate Panda adlarıyla da bilinen Tropic Trooper, Tayvan, Hong Kong ve Filipinler'deki hükümet, sağlık, ulaşım ve yüksek teknoloji endüstrilerini hedeflemesiyle tanınır. Çince konuşan kolektifin 2011'den beri aktif olduğu ve FamousSparrow olarak izlenen başka bir izinsiz giriş grubuyla yakın bağları olduğu değerlendiriliyor.
Kaspersky tarafından vurgulanan en son izinsiz giriş, China Chopper web kabuğunu Umbraco CMS'nin bir .NET modülü olarak derlemek için önemlidir ve takip eden istismar, DLL yandan yükleme tekniklerini kullanarak Crowdoor'u başlatmadan önce ağ taraması, yanal hareket ve savunmadan kaçınma araçlarının konuşlandırılmasına yol açar.
Web kabuklarının, Adobe ColdFusion (CVE-2023-26360) ve Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207) gibi genel erişime açık web uygulamalarındaki bilinen güvenlik açıklarından yararlanılarak sağlandığından şüpheleniliyor.
İlk olarak Haziran 2023'te gözlemlenen Crowdoor, aynı zamanda Cobalt Strike'ı düşürmek ve virüslü ana bilgisayarlarda kalıcılığı sürdürmek için bir yükleyici görevi görürken, aynı zamanda hassas bilgileri toplamak, ters bir kabuk başlatmak, diğer kötü amaçlı yazılım dosyalarını silmek ve kendini sonlandırmak için bir arka kapı görevi görür.
Magdy, "Aktör arka kapılarının tespit edildiğinin farkına vardığında, tespit edilmekten kaçınmak için daha yeni örnekler yüklemeye çalıştılar ve böylece yeni örnek setlerinin yakın gelecekte tespit edilme riskini artırdılar" dedi.
"Bu saldırının önemi, Orta Doğu'da insan hakları üzerine çalışmalar yayınlayan ve özellikle İsrail-Hamas çatışması etrafındaki duruma odaklanan bir içerik yönetim platformunu hedef alan Çince konuşan bir aktörün görülmesinde yatıyor."
"Bu izinsiz girişle ilgili analizimiz, tüm bu sistemin saldırı sırasında tek hedef olduğunu ortaya çıkardı ve bu da bu belirli içeriğe kasıtlı olarak odaklanıldığını gösteriyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı