Çinli Hackerlar 24 Kamboçyalı Kuruluşa Gizli Casusluk Saldırıları Başlattı
Siber güvenlik araştırmacıları, 24 Kamboçyalı hükümet kuruluşunu hedef alan iki önde gelen Çin ulus devlet bilgisayar korsanlığı grubu tarafından düzenlenen kötü niyetli siber faaliyet olduğunu söylediklerini keşfettiler.
Palo Alto Networks Unit 42 araştırmacıları geçen hafta yayınlanan bir raporda, "Bu faaliyetin uzun vadeli bir casusluk kampanyasının parçası olduğuna inanılıyor" dedi.
"Gözlemlenen faaliyet, güçlerini yansıtmak ve bölgedeki deniz operasyonlarını genişletmek için Kamboçya ile olan güçlü ilişkilerinden yararlanmaya çalışan Çin hükümetinin jeopolitik hedefleriyle uyumludur."
Hedeflenen kuruluşlar savunma, seçim gözetimi, insan hakları, ulusal hazine ve finans, ticaret, politika, doğal kaynaklar ve telekomünikasyon sektörlerini kapsamaktadır.
Değerlendirme, bu kuruluşlardan kaynaklanan gelen ağ bağlantılarının, "birkaç aylık bir süre" boyunca bulut yedekleme ve depolama hizmetleri gibi görünen Çin bağlantılı bir düşman altyapısına kalıcı doğasından kaynaklanmaktadır.
Komuta ve kontrol (C2) alan adlarından bazıları aşağıda listelenmiştir:
- api.infinitycloud[.]info
- connect.infinitycloud[.]info
- connect.infinitybackup[.]net
- file.wonderbackup[.]com
- login.wonderbackup[.]com
- update.wonderbackup[.]com
Taktik, muhtemelen saldırganların radarın altında uçma ve meşru ağ trafiğine karışma girişimidir.
Dahası, Çin ile olan bağlantılar, tehdit aktörünün faaliyetinin öncelikle ülkedeki normal çalışma saatlerinde gözlemlendiği gerçeğine dayanıyor ve Eylül sonu ve Ekim 2023'ün başlarında, Altın Hafta ulusal tatillerine denk gelen bir düşüş kaydedildi ve 9 Ekim'de normal seviyelere geri döndü.
Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat ve UNC4191 gibi Çin-bağlantı noktası bilgisayar korsanlığı grupları, geçtiğimiz yıl boyunca Asya'da kamu ve özel sektörü hedef alan bir dizi casusluk kampanyası başlattı.
Geçen ay Elastic Security Labs, Güneydoğu Asya Ülkeleri Birliği (ASEAN) ülkelerine yönelik saldırılarında EAGERBEE, RUDEBIRD, DOWNTOWN ve BLOODALCHEMY gibi özel arka kapılardan yararlandığı tespit edilen REF5961 kod adlı bir saldırı setini detaylandırdı.
Kötü amaçlı yazılım ailelerinin "daha önce bildirilen bir izinsiz giriş seti olan REF2924 ile birlikte ikamet ettikleri keşfedildi", ikincisinin ShadowPad kullanımı ve Winnti ve ChamelGang ile taktiksel örtüşmeleri nedeniyle Çin ile uyumlu bir grup olduğu değerlendirildi.
Açıklamalar ayrıca, Çin'in siber casusluk faaliyetlerindeki değişimi vurgulayan, bunu daha olgun ve koordineli olarak tanımlayan ve halka açık e-posta sunucularında, güvenlik ve ağ cihazlarındaki bilinen ve sıfırıncı gün kusurlarından yararlanmaya güçlü bir şekilde odaklanan Recorded Future'ın bir raporunu takip ediyor.
2021'in başından bu yana, Çin devlet destekli gruplar, Microsoft Exchange Server, Solarwinds Serv-U, Sophos Firewall, Fortinet FortiOS, Barracuda Email Security Gateway ve Atlassian Confluence Data Center and Server'da tespit edilenler de dahil olmak üzere 23 sıfır gün güvenlik açığından yararlanmakla suçlandı.
Şirket, devlet destekli siber operasyonların "geniş fikri mülkiyet hırsızlığından, Kuşak ve Yol Girişimi ve kritik teknolojilerle ilgili olanlar gibi belirli stratejik, ekonomik ve jeopolitik hedefleri destekleyen daha hedefli bir yaklaşıma" dönüştüğünü söyledi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı