DeadRinger casusluk kampanyası: Güneydoğu Asya'daki telekom şirketlerini hedef alan Çin bağlantılı üç farklı APT grubu

DeadRinger casusluk kampanyası: Güneydoğu Asya'daki telekom şirketlerini hedef alan Çin bağlantılı üç farklı APT grubu
Kaynak: Cybereason

Siber güvenlik şirketi Cybereason tarafından yayınlanan rapora göre, Güneydoğu Asya’da bulunan en az beş büyük telekomünikasyon sağlayıcısının geçtiğimiz yıllarda Çin ile bağlantılı farklı tehdit aktörleri tarafından saldırıya uğradığı belirtiliyor. Güvenlik araştırmacıları, telekomünikasyon şirketlerine ait hassas müşteri verilerini çalmayı ve eriştiği ağlarda sürekliliğini korumayı amaçlayan bu saldırılarda Çin ile bağlantılı olduğu düşünülen tehdit aktörlerinin, henüz ortaya çıkmadan önce kötü şöhretli Microsoft Exchange Proxylogon güvenlik açıklarından yararlandığını tespit etmişler.

Cybereason güvenlik araştırmacıları, DeadRinger olarak adlandırdıkları bu casusluk kampanyasını 2017 yılından beri takip ediyorlarmış. Yine bu araştırmayla bağlantılı olarak 2019 yılında yayınlanan diğer bir raporda, Çin ile bağlantılı SoftCell adındaki bir tehdit aktörünün Afrika, Orta Doğu, Avrupa ve Asya’daki telekom şirketlerinden arama kayıtlarını çalmak için fatura sunucularını hedeflediği belirtilmiş.

Yeni yayınlanan bu rapor ile birlikte, Naikon APT ve Group-3390 olarak adlandırılan iki yeni tehdit aktörü ortaya çıkarılmış. Bu iki yeni tehdit aktörünün yine Çin ile bağlantılı olabileceği, SoftCell gibi telekom şirketlerinden arama kayıtlarını çalmak için fatura sunucularını hedeflediği ve diğer temel bileşenler aracılığıyla da eriştikleri ağlarda sürekliliğini korumayı istedikleri anlaşılmış.

Birbiriyle bağlantısız üç farklı tehdit aktörü

Araştırmacılar, genel olarak, saldırganların “son derece uyarlanabilir” olduğunu ve kurbanların ağlarında kalıcılığı sürdürmek için faaliyetlerini gizlemede başarılı olduklarını ve bazılarının 2017’den beri tespit edilmekten kaçmayı başardığını söyledi. Üç farklı kümede gösterilen bu saldırılar:

1- Cluster A olarak adlandırılan SoftCell saldırıları, 2018’de başlayan bu saldırılar Güneydoğu Asya dahil olmak üzere birden fazla bölgede telekom şirketlerine yönelik gerçekleşti ve 2021 yılının ilk çeyreği boyunca devam etti. Bu saldırganlar ChinaChopper webshell‘ini yüklemek ve PcShare adlı arka kapıyı kullanarak bir dayanak kazanmak için Microsoft Exchange güvenlik açıklarından yararlanmaya çalışmışlar. Saldırganlar daha sonra keşif yapmak, ağ üzerinde yanlamasına hareket etmek ve kimlik bilgilerini ve verileri çalmak için çeşitli araçlar kullanmışlar.

2- Cluster B olarak adlandıırlan Naikon APT saldırıları, 2020 yılının 4.çeyreğinde bu yana Güneydoğu Asya’daki telekom şirketlerini hedef alıyor ve 2021’in ilk çeyreğine kadar devam ettiği belirtiliyor.

3- Cluster C olarak adlandıırlan saldırıların ise aslında 2017’de başlayıp, 2021’in ilk çeyreğine kadar devam eden ve SoftCell saldırıları ile ilgili bir “mini küme” olduğu belirtiliyor. Ancak, saldırılarda birden çok Microsoft Exchange ve IIS sunucusuna dağıtılan bir OWA arka kapısının kullanımı göz önüne aldıklarında, Çin ile bağlantılı APT grubu olan Group-3390’ın (Emissary Panda ve APT27 olarakta biliniyor ) işi de olabileceği düşünülüyor.

Araştırmacıların bazı hipotezlerine göre, tehdit aktörlerinin aralarında işbirliği yapmadan birbirinden tamamıyla bağımsız oldukları belirtiliyor. İkinci hipoteze göre ise birlikte çalışan ve aynı Çinli tehdit aktörüne rapor veren farklı uzmanlık gruplarına sahip iki veya daha fazla ekibin çalışmalarını temsil etttiği belirtiliyor. Son hipoteze göre ise tehdit aktörlerinin birbirilerinden haberdar oldukları ancak farklı gündem veya görevleri bulundukları olarak geçiyor.

Bunlar ilginizi çekebilir

İllegal pazar yeri platformu PopeyeTools ele geçirilip, kapatıldı

İllegal pazar yeri platformu PopeyeTools ele geçirilip, kapatıldı

Çalıntı kredi kartı numaraları ve diğer siber suçluların ihtiyaç duyduğu başka araçlarında satışını gerçekleştiren PopeyeTools adlı illegal pazar yeri platformun kurucusu iddia edilen üç kişiye yönelik suçlamalardan sonra platform, ABD Adalet Bakanlığı tarafından kapatıldı. PopeyeTools adlı yasadışı pazar yeri platformuna federal hükümet tarafından el koyulduktan sonra Afganistan uyruklu Javed Mirza

By Editor
Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac'lere yönelik kullanılan iki 0-Day için güncelleştirme duyurdu

Apple, Intel tabanlı Mac sistemlerine yönelik saldırılarda tehdit aktörleri tarafından istismar edilen iki tane sıfırıncı gün açığı (0-Day) ile ilgili acil güvenlik güncellemeleri yayınladı. Şirket tarafından yayınlanan ayrıntılara göre MacOS Sequoia'da CVE-2024-44308 olarak izlenen JavaScriptCore ve CVE-2024-44309 olarak izlenen WebKit bileşenlerinde zafiyetler yer alıyor. Bu iki zafiyette Google

By Editor
Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı girişimi ThreatMon, Pragma Capital Partners'tan yatırım aldı

Siber tehdit istihbaratı alanınında çözümler sunan ThreatMon, Pragma Capital Partners'tan (PCP) yatırım aldı. Gerçekleşen yatırım ile ilgili herhangi bir finansal veri paylaşılmadı. 2018 yılında kurulan ThreatMon'un verdiği hizmetler arasında atak yüzeyi istihbaratı, siber tehdit istihbaratı, marka koruması, darkweb izleme ve tedarik zinciri gibi alanlar yer alıyor

By Editor