Siber güvenlik şirketi ESET, Çin kontaklı yeni bir Gelişmiş Kalıcı Tehdit (APT) Kümesi keşfetti. LongNosedGoblin ismi verilen kümenin Güneydoğu Asya ve Japonya’da siber casusluk araçları kullandığı ve devlet kurumlarını gaye aldığı paylaşıldı.
ESET Research, Windows makinelerindeki ayarları ve müsaadeleri yönetmek için ekseriyetle Active Directory ile birlikte kullanılan bir sistem olan Küme Unsurunu berbata kullanarak makûs maksatlı yazılımları dağıtmak ve atağa uğramış ağda yatay olarak hareket etmek için yeni bir Çin ilişkili APT kümesi olan LongNosedGoblin’i keşfetti. Küme, Güneydoğu Asya ve Japonya’daki devlet kurumlarının ağlarına siber casusluk araçları dağıtmak için kullanılıyor.
2024 yılında, ESET araştırmacıları Güneydoğu Asya’daki bir devlet kurumunun ağında daha evvel belgelenmemiş bir makus gayeli yazılım fark etti. Kümenin Eylül 2023’ten beri faal durumda olduğu düşünülüyor. ESET, Eylül 2025 prestijiyle kümenin bölgedeki faaliyetlerinin tekrar başladığını gözlemlemeye başladı. Küme, ele geçirilen ağda ve Komuta ve Denetim (C&C) için bulut hizmetlerinde (ör. Microsoft OneDrive ve Google Drive) makus hedefli yazılım yayıyor.
LongNosedGoblin’in cephaneliğinde birkaç araç bulunuyor. NosyHistorian, kümenin Google Chrome, Microsoft Edge ve Mozilla Firefox’tan tarayıcı geçmişini toplamak için kullandığı bir C#/.NET uygulaması. Bu bilgiler, öbür makûs gayeli yazılımların nereye yerleştirileceğini belirlemek için kullanılıyor. NosyDoor, makine ismi, kullanıcı ismi, işletim sistemi sürümü ve mevcut sürecin ismi dâhil olmak üzere kurbanın makinesiyle ilgili meta dataları toplar ve tümünü C&C’ye gönderir. Akabinde C&C’den komutlar içeren vazife belgelerini alır ve ayrıştırır. Komutlar, belgeleri sızdırmasına, belgeleri silmesine ve kabuk komutlarını yürütmesine imkan tanır.
NosyStealer, Microsoft Edge ve Google Chrome’dan tarayıcı datalarını çalmak için kullanılır. NosyDownloader, bir dizi gizlenmiş komutu yürütür ve belleğe bir yük indirip çalıştırır. LongNosedGoblin tarafından kullanılan öteki araçların yanı sıra ESET, açık kaynaklı keylogger DuckSharp’ın değiştirilmiş bir versiyonu üzere görünen C#/.NET keylogger NosyLogger’ı da tespit etti. Küme tarafından kullanılan öteki araçlar ortasında karşıt SOCKS5 proxy ve ses ve görüntü yakalamak için muhtemelen FFmpeg üzere bir görüntü kaydedici çalıştırmak için kullanılan bir argüman çalıştırıcı (argüman olarak geçirilen bir uygulamayı çalıştıran bir araç) bulunmaktadır.
LongNosedGoblin’i Peter Strýček ile birlikte araştıran ESET araştırmacısı Anton Cherepanov “Farklı teknikler kullanarak ve Yandex Disk bulut hizmetini C&C sunucusu olarak kullanan, bir AB ülkesindeki bir kuruluşu amaç alan öteki bir NosyDoor varyantı örneği de tespit ettik. Bu NosyDoor varyantının kullanılması, makus hedefli yazılımın Çin ile ilişkili birden fazla tehdit kümesi ortasında paylaşılabileceğini gösteriyor” açıklamasını yaptı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
