Dijital güvenlik şirketi ESET, çeşitli ülkelerdeki Tibetlileri amaç almak için dini bir toplantı olan Monlam Şenliği’nden yararlanan bir siber casusluk kampanyası keşfetti. ESET araştırma grubu bu kampanyayı Çin kontaklı Evasive Panda Gelişmiş Kalıcı Tehdit (APT) kümesine bağlıyor.
ESET araştırmacıları, Eylül 2023’ten bu yana Tibetlileri maksat alan bir siber casusluk kampanyası keşfetti. Araştırmacılara nazaran saldırganlar bir watering-hole (stratejik web tehlikesi) ve Tibet lisanı çeviri yazılımının truva atı yükleyicilerini sunmak için bir tedarik zinciri tehlikesini yol olarak kullandılar. Saldırganlar, web sitesi ziyaretçilerini MgBot ve şimdi kamuya açıklanmamış bir art kapı ile tehlikeye atmak için hem Windows hem de macOS için makûs maksatlı indiriciler dağıtmayı amaçladı. ESET buna Nightdoor ismini verdi. Çin’e bağlı Evasive Panda APT kümesi tarafından yürütülen kampanya, çeşitli ülkelerdeki Tibetlileri maksat almak için dini bir toplantı olan Monlam Şenliği’nden yararlandı. Hedeflenen ağlar Hindistan, Tayvan, Hong Kong, Avustralya ve Amerika Birleşik Devletleri’nde bulunuyordu.
ESET, siber casusluk operasyonunu Ocak 2024’te keşfetti. Watering-hole kullanılarak ele geçirilmiş web sitesi (saldırgan, kurbanın muhtemelen yahut sistemli olarak kullandığı bir web sitesini istila eder), Tibet Budizmini milletlerarası alanda teşvik eden Hindistan merkezli bir kuruluş olan Kagyu International Monlam Trust’a ilişkin. Taarruz, her yıl Ocak ayında Hindistan’ın Bodhgaya kentinde düzenlenen Kagyu Monlam Şenliği’ne olan memleketler arası ilgiden faydalanmayı amaçlamış olabilir. Amerika Birleşik Devletleri’ndeki Georgia Institute of Technology (Georgia Tech olarak da bilinir) ağı, hedeflenen IP adres aralıklarında tespit edilen kuruluşlar ortasında. Geçmişte bu üniversitenin ismi Çin Komünist Partisi’nin ABD’deki eğitim kurumları üzerindeki tesiriyle kontaklı olarak anılmıştı.
Eylül 2023 civarında saldırganlar, Tibet lisanı çeviri yazılımı üreten Hindistan merkezli bir yazılım geliştirme şirketinin web sitesini ele geçirdi. Buraya Windows yahut macOS için makûs maksatlı bir indirici dağıtan birkaç truva atı uygulaması yerleştirdiler. Buna ek olarak, saldırganlar tıpkı web sitesini ve Tibetpost isimli bir Tibet haber sitesini, Windows için iki tam özellikli art kapı ve macOS için bilinmeyen sayıda yük dahil olmak üzere berbat hedefli indirmelerle elde edilen yükleri barındırmak için de berbata kullandılar.
Saldırıyı keşfeden ESET araştırmacısı Anh Ho, “Saldırganlar, sırf Evasive Panda tarafından kullanılan MgBot ve kümenin araç setine en son eklenen ve Doğu Asya’daki birçok ağı gaye almak için kullanılan Nightdoor da dahil olmak üzere çeşitli indiriciler, damlalıklar ve art kapılar kullandılar” dedi. “Tedarik zinciri taarruzunda kullanılan Nightdoor art kapısı, Evasive Panda’nın araç setine yeni eklendi. Nightdoor’un bulabildiğimiz en eski sürümü, Evasive Panda’nın onu Vietnam’daki yüksek profilli bir gayenin makinesine yerleştirdiği 2020 yılına ilişkin. Ho, Yetkilendirme belirteciyle alakalı Google hesabının kaldırılmasını talep ettik,” diye ekledi.
ESET, kullanılan berbat hedefli yazılımlara dayanarak bu kampanyayı Evasive Panda APT kümesiyle ilişkilendiriyor: MgBot ve Nightdoor. Geçtiğimiz iki yıl içinde, her iki art kapının da Tayvan’daki dini bir tertibe karşı yapılan ve tıpkı Komuta ve Denetim sunucusunu paylaştıkları ilgisiz bir taarruzda birlikte kullanıldığı görüldü.
Evasive Panda (BRONZE HIGHLAND yahut Daggerfly olarak da bilinir), en az 2012’den beri etkin olan, Çince konuşan ve Çin’e bağlı bir APT kümesidir. ESET Research, kümenin Çin anakarası, Hong Kong, Makao ve Nijerya’daki bireylere karşı siber casusluk yaptığını gözlemledi. Çin, Makao ve Güneydoğu ve Doğu Asya ülkelerinde, bilhassa de Myanmar, Filipinler, Tayvan ve Vietnam’da devlet kurumları gaye alındı. Çin ve Hong Kong’daki öteki kuruluşlar da amaç alınmıştı. Kamu raporlarına nazaran, küme Hong Kong, Hindistan ve Malezya’daki bilinmeyen kuruluşları da maksat almıştı.
Grup, MgBot olarak bilinen art kapısının kurbanlarını gözetlemek ve yeteneklerini geliştirmek için modüller almasına imkan tanıyan modüler bir mimariye sahip kendi özel berbat maksatlı yazılım çerçevesini kullanıyor. ESET, 2020’den bu yana Evasive Panda’nın art kapılarını, yasal yazılımların güncellemelerini ele geçiren ortadaki düşman atakları yoluyla sunma yeteneğine sahip olduğunu da gözlemledi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
