ESET, Çin temaslı Evasive Panda’nın Tibetlileri maksat almak ve casusluk yapmak için dini şenliklerden yararlandığını ortaya çıkardı
Dijital güvenlik şirketi ESET, çeşitli ülkelerdeki Tibetlileri maksat almak için dini bir toplantı olan Monlam Şenliği’nden yararlanan bir siber casusluk kampanyası keşfetti. ESET araştırma takımı bu kampanyayı Çin kontaklı Evasive Panda Gelişmiş Kalıcı Tehdit (APT) kümesine bağlıyor.
ESET araştırmacıları, Eylül 2023’ten bu yana Tibetlileri amaç alan bir siber casusluk kampanyası keşfetti. Araştırmacılara nazaran saldırganlar bir watering-hole (stratejik web tehlikesi) ve Tibet lisanı çeviri yazılımının truva atı yükleyicilerini sunmak için bir tedarik zinciri tehlikesini metot olarak kullandılar. Saldırganlar, web sitesi ziyaretçilerini MgBot ve şimdi kamuya açıklanmamış bir art kapı ile tehlikeye atmak için hem Windows hem de macOS için makûs gayeli indiriciler dağıtmayı amaçladı. ESET buna Nightdoor ismini verdi. Çin’e bağlı Evasive Panda APT kümesi tarafından yürütülen kampanya, çeşitli ülkelerdeki Tibetlileri amaç almak için dini bir toplantı olan Monlam Şenliği’nden yararlandı. Hedeflenen ağlar Hindistan, Tayvan, Hong Kong, Avustralya ve Amerika Birleşik Devletleri’nde bulunuyordu.
ESET, siber casusluk operasyonunu Ocak 2024’te keşfetti. Watering-hole kullanılarak ele geçirilmiş web sitesi (saldırgan, kurbanın muhtemelen yahut nizamlı olarak kullandığı bir web sitesini istila eder), Tibet Budizmini memleketler arası alanda teşvik eden Hindistan merkezli bir kuruluş olan Kagyu International Monlam Trust’a ilişkin. Hücum, her yıl Ocak ayında Hindistan’ın Bodhgaya kentinde düzenlenen Kagyu Monlam Şenliği’ne olan milletlerarası ilgiden faydalanmayı amaçlamış olabilir. Amerika Birleşik Devletleri’ndeki Georgia Institute of Technology (Georgia Tech olarak da bilinir) ağı, hedeflenen IP adres aralıklarında tespit edilen kuruluşlar ortasında. Geçmişte bu üniversitenin ismi Çin Komünist Partisi’nin ABD’deki eğitim kurumları üzerindeki tesiriyle kontaklı olarak anılmıştı.
Eylül 2023 civarında saldırganlar, Tibet lisanı çeviri yazılımı üreten Hindistan merkezli bir yazılım geliştirme şirketinin web sitesini ele geçirdi. Buraya Windows yahut macOS için berbat gayeli bir indirici dağıtan birkaç truva atı uygulaması yerleştirdiler. Buna ek olarak, saldırganlar tıpkı web sitesini ve Tibetpost isimli bir Tibet haber sitesini, Windows için iki tam özellikli art kapı ve macOS için bilinmeyen sayıda yük dahil olmak üzere makus gayeli indirmelerle elde edilen yükleri barındırmak için de berbata kullandılar.
Saldırıyı keşfeden ESET araştırmacısı Anh Ho, “Saldırganlar, sadece Evasive Panda tarafından kullanılan MgBot ve kümenin araç setine en son eklenen ve Doğu Asya’daki birçok ağı amaç almak için kullanılan Nightdoor da dahil olmak üzere çeşitli indiriciler, damlalıklar ve art kapılar kullandılar” dedi. “Tedarik zinciri atağında kullanılan Nightdoor art kapısı, Evasive Panda’nın araç setine yeni eklendi. Nightdoor’un bulabildiğimiz en eski sürümü, Evasive Panda’nın onu Vietnam’daki yüksek profilli bir amacın makinesine yerleştirdiği 2020 yılına ilişkin. Ho, Yetkilendirme belirteciyle bağlı Google hesabının kaldırılmasını talep ettik,” diye ekledi.
ESET, kullanılan berbat maksatlı yazılımlara dayanarak bu kampanyayı Evasive Panda APT kümesiyle ilişkilendiriyor: MgBot ve Nightdoor. Geçtiğimiz iki yıl içinde, her iki art kapının da Tayvan’daki dini bir tertibe karşı yapılan ve tıpkı Komuta ve Denetim sunucusunu paylaştıkları ilgisiz bir akında birlikte kullanıldığı görüldü.
Evasive Panda (BRONZE HIGHLAND yahut Daggerfly olarak da bilinir), en az 2012’den beri faal olan, Çince konuşan ve Çin’e bağlı bir APT kümesidir. ESET Research, kümenin Çin anakarası, Hong Kong, Makao ve Nijerya’daki bireylere karşı siber casusluk yaptığını gözlemledi. Çin, Makao ve Güneydoğu ve Doğu Asya ülkelerinde, bilhassa de Myanmar, Filipinler, Tayvan ve Vietnam’da devlet kurumları maksat alındı. Çin ve Hong Kong’daki öbür kuruluşlar da maksat alınmıştı. Kamu raporlarına nazaran, küme Hong Kong, Hindistan ve Malezya’daki bilinmeyen kuruluşları da amaç almıştı.
Grup, MgBot olarak bilinen art kapısının kurbanlarını gözetlemek ve yeteneklerini geliştirmek için modüller almasına imkan tanıyan modüler bir mimariye sahip kendi özel makus gayeli yazılım çerçevesini kullanıyor. ESET, 2020’den bu yana Evasive Panda’nın art kapılarını, legal yazılımların güncellemelerini ele geçiren ortadaki düşman atakları yoluyla sunma yeteneğine sahip olduğunu da gözlemledi.
Kaynak: (BYZHA) Beyaz Haber Ajansı
