Çinli ve Kuzey Koreli Bilgisayar Korsanları Fidye Yazılımlarıyla Küresel Altyapıyı Hedef Alıyor
Çin ve Kuzey Kore ile bağları olduğundan şüphelenilen tehdit aktörleri, 2021 ve 2023 yılları arasında dünya genelinde hükümeti ve kritik altyapı sektörlerini hedef alan fidye yazılımı ve veri şifreleme saldırılarıyla ilişkilendirildi.
Siber güvenlik firmaları SentinelOne ve Recorded Future, paylaşılan ortak bir raporda, bir faaliyet kümesi ChamelGang (diğer adıyla CamoFei) ile ilişkilendirilirken, ikinci kümenin daha önce Çin ve Kuzey Kore devlet destekli gruplara atfedilen faaliyetlerle örtüştüğünü söyledi.
Bu, ChamelGang'ın 2022'de Tüm Hindistan Tıp Bilimleri Enstitüsü'nü (AIIMS) ve Brezilya Başkanlığı'nı CatB fidye yazılımı kullanarak hedef alan saldırılarının yanı sıra 2023'te Doğu Asya'daki bir devlet kurumunu ve Hindistan alt kıtasındaki bir havacılık kuruluşunu hedef alan saldırıları da içeriyor.
Güvenlik araştırmacıları Aleksandar Milenkoski ve Julian-Ferdinand Vögele, "Siber casusluk ekosistemindeki tehdit aktörleri, finansal kazanç, aksaklık, dikkat dağıtma, yanlış ilişkilendirme veya kanıtların kaldırılması amacıyla operasyonlarında son aşama olarak fidye yazılımı kullanma konusunda giderek daha rahatsız edici bir eğilim sergiliyor" dedi.
Bu bağlamda fidye yazılımı saldırıları, yalnızca sabotaj için bir çıkış noktası olarak hizmet etmekle kalmaz, aynı zamanda tehdit aktörlerinin, aksi takdirde savunucuları varlıklarına karşı uyarabilecek eserleri yok ederek izlerini örtmelerine olanak tanır.
Tayvanlı siber güvenlik firması TeamT5'e göre, ilk olarak 2021'de Positive Technologies tarafından belgelenen ChamelGang, istihbarat toplama, veri hırsızlığı, finansal kazanç, hizmet reddi (DoS) saldırıları ve bilgi operasyonları gibi çeşitli motivasyonlarla faaliyet gösteren bir Çin-bağlantı grubu olarak değerlendiriliyor.
Cephaneliğinde BeaconLoader, Cobalt Strike, AukDoor ve DoorMe gibi arka kapılar ve fidye notundaki ortak noktalara dayalı olarak Brezilya ve Hindistan'ı hedef alan saldırılarda kullanıldığı tespit edilen CatB olarak bilinen bir fidye yazılımı türü de dahil olmak üzere çok çeşitli araçlara sahip olduğu biliniyor. ve şifrelenmiş dosyaların dosya adı uzantısı.
2023'te gözlemlenen saldırılar, keşif ve ek araçların bırakılması ve NTDS.dit veritabanı dosyasının sızdırılması gibi istismar sonrası faaliyetler için Cobalt Strike'ı sunmak için BeaconLoader'ın güncellenmiş bir sürümünden de yararlandı.
Ayrıca, ChamelGang tarafından DoorMe ve MGDrive (macOS varyantı Gimmick olarak adlandırılan) gibi özel kötü amaçlı yazılımların REF2924 ve Storm Cloud gibi diğer Çinli tehdit gruplarıyla da bağlantılı olduğunu ve bir kez daha "farklı operasyonel gruplara kötü amaçlı yazılım sağlayan bir dijital çeyrek yöneticisi" olasılığını ima ettiğini belirtmekte fayda var.
Diğer izinsiz giriş grubu, Kuzey Amerika, Güney Amerika ve Avrupa'daki çeşitli endüstri dikeylerini etkileyen siber saldırılarda Jetico BestCrypt ve Microsoft BitLocker'ın kullanılmasını içerir. Ağırlıklı olarak ABD imalat sektörü olmak üzere 37 kadar kuruluşun hedef alındığı tahmin ediliyor.
İki siber güvenlik şirketine göre gözlemlenen taktikler, China Chopper web kabuğu ve DTrack olarak bilinen bir arka kapı gibi araçların varlığı nedeniyle APT41 adlı Çinli bir bilgisayar korsanlığı ekibine ve Andariel olarak bilinen Kuzey Koreli bir aktöre atfedilenlerle tutarlı.
Milenkoski, verdiği demeçte, "Gözlemlediğimiz faaliyetler, şüpheli Çin ve Kuzey Kore APT kümeleriyle ilişkili eserleri içeren geçmiş izinsiz girişlerle örtüşüyor" dedi ve görünürlük sınırlamalarının muhtemelen kötü niyetli eserlerin kendilerinin tespit edilmesini engellediğini belirtti.
"Araştırmalarımız ve önceki araştırmaları gözden geçirmemiz, aynı hedeflenen ortamlarda aynı anda mevcut olan şüpheli Çin veya Kuzey Koreli APT gruplarıyla ilişkili alet veya diğer izinsiz giriş eserlerine dair kanıt ortaya koymadı."
SentinelOne ayrıca, özellikle ulus devlet aktörlerinin de zaman zaman finansal olarak motive edilmiş saldırılarda yer aldığı göz önüne alındığında, bu faaliyetlerin daha geniş bir siber suç planının parçası olma olasılığını dışlayamayacağını söyledi.
Araştırmacılar, "Fidye yazılımı faaliyetleri olarak gizlenen siber casusluk operasyonları, düşman ülkelere, eylemleri devlet destekli kuruluşlar yerine bağımsız siber suçlu aktörlerine atfederek makul bir inkar edilebilirlik iddiasında bulunma fırsatı sunuyor" dedi.
"Siber casusluk tehdit grupları tarafından fidye yazılımı kullanımı, siber suç ve siber casusluk arasındaki çizgileri bulanıklaştırarak düşmanlara hem stratejik hem de operasyonel açıdan avantajlar sağlıyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı