Çinli Hackerlar 24 Kamboçyalı Kuruluşa Gizli Casusluk Saldırıları Başlattı

Palo Alto Networks Unit 42 araştırmacıları geçen hafta yayınlanan bir raporda, "Bu faaliyetin uzun vadeli bir casusluk kampanyasının parçası olduğuna inanılıyor" dedi.

"Gözlemlenen faaliyet, güçlerini yansıtmak ve bölgedeki deniz operasyonlarını genişletmek için Kamboçya ile olan güçlü ilişkilerinden yararlanmaya çalışan Çin hükümetinin jeopolitik hedefleriyle uyumludur."

Hedeflenen kuruluşlar savunma, seçim gözetimi, insan hakları, ulusal hazine ve finans, ticaret, politika, doğal kaynaklar ve telekomünikasyon sektörlerini kapsamaktadır.

Değerlendirme, bu kuruluşlardan kaynaklanan gelen ağ bağlantılarının, "birkaç aylık bir süre" boyunca bulut yedekleme ve depolama hizmetleri gibi görünen Çin bağlantılı bir düşman altyapısına kalıcı doğasından kaynaklanmaktadır.

Komuta ve kontrol (C2) alan adlarından bazıları aşağıda listelenmiştir:

  • api.infinitycloud[.]info
  • connect.infinitycloud[.]info
  • connect.infinitybackup[.]net
  • file.wonderbackup[.]com
  • login.wonderbackup[.]com
  • update.wonderbackup[.]com

Taktik, muhtemelen saldırganların radarın altında uçma ve meşru ağ trafiğine karışma girişimidir.

Dahası, Çin ile olan bağlantılar, tehdit aktörünün faaliyetinin öncelikle ülkedeki normal çalışma saatlerinde gözlemlendiği gerçeğine dayanıyor ve Eylül sonu ve Ekim 2023'ün başlarında, Altın Hafta ulusal tatillerine denk gelen bir düşüş kaydedildi ve 9 Ekim'de normal seviyelere geri döndü.

Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat ve UNC4191 gibi Çin-bağlantı noktası bilgisayar korsanlığı grupları, geçtiğimiz yıl boyunca Asya'da kamu ve özel sektörü hedef alan bir dizi casusluk kampanyası başlattı.

Geçen ay Elastic Security Labs, Güneydoğu Asya Ülkeleri Birliği (ASEAN) ülkelerine yönelik saldırılarında EAGERBEE, RUDEBIRD, DOWNTOWN ve BLOODALCHEMY gibi özel arka kapılardan yararlandığı tespit edilen REF5961 kod adlı bir saldırı setini detaylandırdı.

Kötü amaçlı yazılım ailelerinin "daha önce bildirilen bir izinsiz giriş seti olan REF2924 ile birlikte ikamet ettikleri keşfedildi", ikincisinin ShadowPad kullanımı ve Winnti ve ChamelGang ile taktiksel örtüşmeleri nedeniyle Çin ile uyumlu bir grup olduğu değerlendirildi.

Açıklamalar ayrıca, Çin'in siber casusluk faaliyetlerindeki değişimi vurgulayan, bunu daha olgun ve koordineli olarak tanımlayan ve halka açık e-posta sunucularında, güvenlik ve ağ cihazlarındaki bilinen ve sıfırıncı gün kusurlarından yararlanmaya güçlü bir şekilde odaklanan Recorded Future'ın bir raporunu takip ediyor.

2021'in başından bu yana, Çin devlet destekli gruplar, Microsoft Exchange Server, Solarwinds Serv-U, Sophos Firewall, Fortinet FortiOS, Barracuda Email Security Gateway ve Atlassian Confluence Data Center and Server'da tespit edilenler de dahil olmak üzere 23 sıfır gün güvenlik açığından yararlanmakla suçlandı.

Şirket, devlet destekli siber operasyonların "geniş fikri mülkiyet hırsızlığından, Kuşak ve Yol Girişimi ve kritik teknolojilerle ilgili olanlar gibi belirli stratejik, ekonomik ve jeopolitik hedefleri destekleyen daha hedefli bir yaklaşıma" dönüştüğünü söyledi.

 

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği