Siber Muhbir

Recorded Future'dan Insikt Group yeni bir analizde, "Grup, 2024 Tayvan cumhurbaşkanı adayı Terry Gou, Vietnam Ulusal Bayramı, Moğolistan'daki selden korunma ve Güneydoğu Asya Ülkeleri Birliği (ASEAN) toplantısı da dahil olmak üzere toplantı davetiyeleri temalı cazibe belgeleri kullandı" dedi.

Tehdit aktörünün Ağustos 2024'te Moğolistan Savunma Bakanlığı'nı ve Kasım 2024'te Vietnam Komünist Partisi'ni tehlikeye attığına inanılıyor. Ayrıca Eylül-Aralık 2024 tarihleri arasında Malezya, Japonya, Amerika Birleşik Devletleri, Etiyopya, Brezilya, Avustralya ve Hindistan'da çeşitli kurbanları hedef aldığı söyleniyor.

En az 2012'den beri aktif olan RedDelta, Çin'den devlet destekli bir tehdit aktörüne verilen takma addır. Ayrıca siber güvenlik topluluğu tarafından BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (ve yakından ilişkili Vertigo Panda), Red Lich, Stately Taurus, TA416 ve Twill Typhoon adları altında takip edilmektedir.

Bilgisayar korsanlığı ekibi, Güneydoğu Asya'daki devlet kurumlarını hedef alan casusluk operasyonlarının bir parçası olarak Visual Studio Code tünellerini silahlandıran son saldırılarla, Operation Digital Eye ve MirrorFace gibi Çin bağlantılı çeşitli casusluk kümeleri tarafından giderek daha fazla benimsenen bir taktik olan enfeksiyon zincirini sürekli olarak iyileştirmesiyle tanınıyor.

Recorded Future tarafından belgelenen izinsiz giriş seti, muhtemelen hedef odaklı kimlik avı yoluyla dağıtılan Windows Kısayolu (LNK), Windows Installer (MSI) ve Microsoft Yönetim Konsolu (MSC) dosyalarının, enfeksiyon zincirini tetiklemek için ilk aşama bileşeni olarak kullanılmasını gerektirir ve sonuçta DLL yandan yükleme teknikleri kullanılarak PlugX'in konuşlandırılmasına yol açar.

Geçen yılın sonlarında düzenlenen belirli kampanyalar, MSC yükünün indirilmesini tetiklemek için bir başlangıç noktası olarak Microsoft Azure'da barındırılan HTML dosyalarına bir bağlantı içeren kimlik avı e-postalarına da dayanıyordu ve bu da PlugX'i yüklemekten sorumlu bir MSI yükleyicisini DLL arama emrinin ele geçirilmesine karşı savunmasız olan meşru bir yürütülebilir dosya kullanarak bırakıyor.

Taktiklerinin evriminin ve güvenlik savunmasının bir adım önünde olmanın bir başka işareti olarak, RedDelta'nın Cloudflare içerik dağıtım ağını (CDN) kullanarak saldırgan tarafından işletilen C2 sunucularına komut ve kontrol (C2) trafiğini proxy olarak kullandığı gözlemlendi. Bu, meşru CDN trafiğiyle uyum sağlamak ve algılama çabalarını karmaşıklaştırmak amacıyla yapılır.

Recorded Future, bilinen iki RedDelta C2 sunucusuyla iletişim kuran 10 yönetim sunucusu belirlediğini söyledi. 10 IP adresinin tümü China Unicom Henan Eyaletine kayıtlıdır.

Şirket, "RedDelta'nın faaliyetleri, Güneydoğu Asya, Moğolistan ve Avrupa'daki hükümetlere ve diplomatik kuruluşlara odaklanarak Çin'in stratejik öncelikleriyle uyumludur" dedi.

"Grubun 2023 ve 2024'teki Asya odaklı hedefi, 2022'de Avrupalı kuruluşları hedefledikten sonra grubun tarihi odağına geri dönüşü temsil ediyor. RedDelta'nın Moğolistan ve Tayvan'ı hedef alması, grubun geçmişte Çin Komünist Partisi'nin gücüne tehdit olarak görülen grupları hedef almasıyla tutarlıdır."

Gelişme, Bloomberg'in ABD Hazine Bakanlığı'nı hedef alan son siber saldırının, daha önce 2021'in başlarında Microsoft Exchange Server'daki (diğer adıyla ProxyLogon) dört güvenlik açığından sıfırıncı gün istismarına atfedilen Silk Typhoon (diğer adıyla Hafnium) olarak bilinen bir bilgisayar korsanlığı grubu tarafından gerçekleştirildiğine dair bir raporun ortasında geldi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.