Cuma, Aralık 9, 2022
Ana Sayfa Güvenlik Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı

Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı

Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı
Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı
- Advertisement -

Çinli bir grup tarafından yürütülen aylarca süren bir siber casusluk kampanyası, kurbanları hakkında bilgi toplamak ve stratejik hedeflerine ulaşmak için keşif kötü amaçlı yazılımlarıyla birkaç kuruluşu hedef aldı.

Kurumsal güvenlik şirketi Proofpoint, “Bu son kampanyanın hedefleri Avustralya, Malezya ve Avrupa’nın yanı sıra Güney Çin Denizi’nde faaliyet gösteren kuruluşları kapsıyordu” söz konusu PwC ile ortaklaşa yayınlanan bir yayında açıkladı.

Hedefler, Güney Çin Denizi’ndeki rüzgar türbini filolarının bakımını yürüten yerel ve federal Avustralya Devlet kurumları, Avustralya haber medyası şirketleri ve küresel ağır sanayi üreticilerini kapsamaktadır.

Proofpoint ve PwC, izinsiz girişleri, iki şirket tarafından sırasıyla TA423 ve Red Ladon isimleriyle takip edilen ve aynı zamanda APT40 ve Leviathan olarak da bilinen bir tehdit aktörüne bağladı.

APT40, 2013’ten beri aktif olduğu bilinen ve öncelikli olarak Güney Çin Denizi’ne odaklanan Asya-Pasifik bölgesinde çarpıcı oluşumlara sahip Çin merkezli, casusluk güdümlü bir tehdit aktörüne verilen addır. Temmuz 2021’de ABD hükümeti ve müttefikleri bağlı Çin Devlet Güvenlik Bakanlığı’na (MSS) muhalifler.

Saldırılar, 12 Nisan ile 15 Haziran arasında, Avustralya medya firmaları gibi görünen URL’leri kullanan çeşitli kimlik avı kampanyası dalgaları biçimini aldı.

Hedefler tarafından ziyaret edildiği bilinen meşru bir web sitesine kötü amaçlı JavaScript kodunun bulaştığı sulama delikleri veya stratejik web uzlaşmalarının aksine, APT40 etkinliği, kötü amaçlı yazılımı iletmek için kullanılan, aktör tarafından kontrol edilen bir alandan yararlanır.

Araştırmacılar, “Tehdit aktörü, kötü niyetli etki alanına bir URL sağlayarak ve web sitesini görüntülemeye veya web sitesinin yayınlayacağı araştırma içeriğini paylaşmaya yönelik hedef talep ederek, genellikle kurgusal medya yayını ‘Avustralya Sabah Haberleri’nin bir çalışanı gibi görünecekti” dedi.

Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı
Çinli Hackerlar Son Siber Casusluk Saldırılarında ScanBox Çerçevesini Kullandı

Bu, tehdit aktörlerinin kurbanlarının profilini çıkarmasına ve bir sonraki aşama yüklerini ilgili hedeflere ulaştırmasına olanak tanır. Çin merkezli birkaç hack grubu arasında özel olarak paylaşıldığı da biliniyor. HUI loader, PlugX ve ShadowPad.

ScanBox kullanılarak daha önce gözlemlenen bazı önemli tehdit aktörleri şunlardır: APT10 (aka Kızıl Apollo veya Taş Panda), APT27 (aka Elçi Panda, Şanslı Fare veya Red Phoenix) ve TA413 (Şanslı Kedi).

Ayrıca, kötü amaçlı yazılım tarafından kurbanın web tarayıcısından alınan ve yürütülen bir dizi eklenti, onun tuş vuruşlarını kaydetmesine, tarayıcının parmak izini almasına, yüklü tarayıcı eklentilerinin bir listesini toplamasına, virüslü makinelerle iletişim kurmasına ve bunların varlığını kontrol etmesine izin veren bir dizi eklentidir. Kaspersky Internet Security (KIS) yazılımı.

Bu, APT40’ın ScanBox’ı dağıtmak için sahte haber web sitelerini kullanma tarzını ilk kez benimsemesi değil.

İlginç bir şekilde, Nisan-Haziran saldırıları, Malezya ve Avustralya merkezli kuruluşların yanı sıra Mart 2021’den Mart 2022’ye kadar Güney Çin Denizi’ndeki açık deniz enerji projeleriyle potansiyel olarak ilgili küresel şirketleri hedef alan aynı tehdit aktörüyle bağlantılı sürekli bir kimlik avı etkinliğinin bir parçasıdır.

Bu saldırılar, daha sonra Meterpreter kabuk kodunun kodlanmış sürümlerini almak için bir kanal görevi gören bir birinci aşama indirici sağlamak için kötü niyetli RTF belgelerini kullandı.

Mart 2022’deki bu kampanyanın kurbanlarından biri, Tayvan Boğazı’ndaki açık deniz rüzgar çiftliklerinde kullanılan Avrupalı ​​bir ağır ekipman üreticisiydi.

Hepsi bu değil. APT40 ayrıca, Avustralya Siber Güvenlik Merkezi’nin (ACSC) Kopyala-Yapıştır Uzlaşmasının arkasında olduğuyla ilişkilendirilmiştir.

Araştırmacılar, “Bu tehdit aktörü, savunma ve sağlık hizmetleri de dahil olmak üzere Avustralya’nın yerel hedefleriyle paralel olarak Güney Çin Denizi’nde enerji araştırması yapan kuruluşlara tutarlı bir şekilde odaklandığını gösterdi.” Dedi.

RELATED ARTICLES

Apple, Aktif Olarak Sömürülen Güvenlik Açığını Düzeltmek İçin Eski iPhone’lar için iOS Güncellemesi Yayınladı

Apple Çarşamba günü, bir sorunu gidermek için eski iPhone'lar, iPad'ler ve iPod touch cihazlarına yönelik güvenlik güncellemelerini destekledi. Eksiklik, takip edilen CVE-2022-32893 (CVSS puanı: 8.8),...

Hackerlar, James Webb Uzay Teleskobu Tarafından Çekilen Çarpıcı Görüntülerde Kötü Amaçlı Yazılımları Gizliyor

GO#WEBBFUSCATOR adlı kalıcı bir Golang tabanlı kötü amaçlı yazılım kampanyası, virüslü sistemlerde kötü amaçlı yükleri dağıtmak için NASA'nın James Webb Uzay Teleskobu'ndan (JWST) alınan...

Hackerlar, Sistemlere Hırsızlar ve Kripto Madencileri Bulaştırmak için ModernLoader’ı Kullanıyor

Mart ve Haziran 2022 arasında birbirinden farklı ancak birbiriyle ilişkili üç kampanyanın, ModernLoader, RedLine Stealer ve kripto para madencileri de dahil olmak üzere çeşitli...

Most Popular

AMD Ryzen 7000 ‘Zen 4’ X Olmayan Masaüstü İşlemciler 10 Ocak’ta Piyasaya Sürülecek

AMD Ryzen 7000 "Zen 4" X Olmayan İşlemciler CES 2023'te Tanıtıldı, Aynı Ay Piyasaya Sürüldü AMD'nin en az üç yeni Ryzen 7000 "Zen 4" X...

Mühendis, M1 iMac’ten ‘Çene’ Çerçevesini Çıkartarak Ona Apple’ın Bağımsız Monitörleri Gibi Tekdüze Bir Tasarım Verdi

Apple'ın 24 inç M1 iMac'i, önemli tasarım değişikliği sayesinde yeni bir soluktu, ancak bazı keskin gözlü eleştirmenler bu "çene" çerçevesine hemen dikkat çektiler, ancak...

iPhone 14’ün Uydu Özelliği Üzerinden Acil SOS, Alaska’da Mahsur Kalan Bir Adamın Hayatını Kurtardı

Apple'ın en yeni iPhone 14 ve iPhone 14 Pro modelleri, önceki modellere göre çeşitli iyileştirmeler içeriyor. Apple'ın sahnede duyurduğu en önemli eklemelerden biri, kullanıcıların hücresel...

Intel, 2030’a Kadar Yeni Nesil Çiplerde Bir Trilyon Transistörün Yolunu Açıyor

IEDM'de Intel Research, sergilendi Moore Yasası Nasıl Canlı ve Chipzilla 2030 yılına kadar Trilyon transistörlü yeni nesil çipleri nasıl sunmayı planladığını. Intel Araştırması Moore Yasasını...

Recent Comments