Çinli Hackerlar MgBot ve MACMA Kötü Amaçlı Yazılımlarıyla Tayvan ve ABD STK'sını Hedef Aldı

Broadcom'un bir parçası olan Symantec'in Tehdit Avcısı Ekibi, bugün yayınlanan yeni bir raporda, kampanyanın grubun "aynı zamanda iç casusluk da yaptığının" bir işareti olduğunu söyledi. "Bu kuruluşa yapılan saldırıda, saldırganlar MgBot kötü amaçlı yazılımlarını iletmek için bir Apache HTTP sunucusundaki bir güvenlik açığından yararlandı."

Bronze Highland ve Evasive Panda adlarıyla da bilinen Daggerfly, daha önce Afrika'daki telekom servis sağlayıcılarına yönelik bir istihbarat toplama göreviyle bağlantılı olarak MgBot modüler kötü amaçlı yazılım çerçevesini kullanırken gözlemlenmişti. 2012'den beri faaliyette olduğu bilinmektedir.

Şirket, "Daggerfly, casusluk faaliyetlerine minimum kesinti ile devam etmek için araç setini hızla güncelleyerek maruz kalmaya yanıt verebiliyor gibi görünüyor" dedi.

En son saldırı seti, MgBot tabanlı yeni bir kötü amaçlı yazılım ailesinin yanı sıra, ilk olarak Kasım 2021'de Google'ın Tehdit Analiz Grubu (TAG) tarafından Safari tarayıcısındaki güvenlik kusurlarını kötüye kullanarak Hong Kong'daki internet kullanıcılarını hedef alan watering hole saldırıları yoluyla dağıtıldığı ortaya çıkan MAC adlı bilinen bir Apple macOS kötü amaçlı yazılımının geliştirilmiş bir sürümünün kullanılmasıyla karakterize edilir.

Geliştirme, hassas bilgileri toplayabilen ve keyfi komutları yürütebilen kötü amaçlı yazılım türünün ilk kez belirli bir bilgisayar korsanlığı grubuyla açıkça bağlantılı olduğunu gösteriyor.

SentinelOne, o sırada yapılan bir sonraki analizde, "macOS.MACMA'nın arkasındaki aktörler en azından ELF/Android geliştiricilerinin kodunu yeniden kullanıyorlardı ve muhtemelen Android telefonları da kötü amaçlı yazılımlarla hedef alıyor olabilirler" dedi.

MACMA'nın Daggerly ile olan bağlantıları, kötü amaçlı yazılım ile Mgbot arasındaki kaynak kodu örtüşmelerinden ve bir komuta ve kontrol (C2) sunucusuna bağlanmasından da kaynaklanmaktadır (103.243.212[.] 98) bu aynı zamanda bir MgBot damlalığı tarafından da kullanılmıştır.

Cephaneliğindeki bir diğer yeni kötü amaçlı yazılım, C2 için Google Drive API'sini kullanan ve en az Eylül 2023'ten beri Tibetli kullanıcıları hedef alan su birikintisi saldırılarında kullanılan bir implant olan Nightdoor (diğer adıyla NetMM ve Suzafk). Etkinliğin ayrıntıları ilk olarak bu Mart ayının başlarında ESET tarafından belgelendi.

Symantec, "Grup, araçlarının en büyük işletim sistemi platformunu hedefleyen sürümlerini oluşturabilir" dedi ve "Android APK'larını, SMS engelleme araçlarını, DNS isteği durdurma araçlarını ve hatta Solaris OS'yi hedefleyen kötü amaçlı yazılım ailelerini trojanize etme yeteneğinin kanıtlarını gördüğünü" de sözlerine ekledi.

Gelişme, Çin'in Ulusal Bilgisayar Virüsü Acil Müdahale Merkezi'nin (CVERC), Beş Göz ülkeleri tarafından Çin-nexus casusluk grubu olarak atfedilen Volt Typhoon'un ABD istihbarat teşkilatlarının bir icadı olduğunu iddia etmesiyle geldi ve bunu bir yanlış bilgilendirme kampanyası olarak nitelendirdi.

CVERC yakın tarihli bir raporda, "Ana hedefleri ABD kongresi ve Amerikan halkı olmasına rağmen, aynı zamanda Çin'i karalamaya, Çin ile diğer ülkeler arasında anlaşmazlık çıkarmaya, Çin'in gelişimini kontrol altına almaya ve Çinli şirketleri soymaya çalışıyor" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği