• BIST 100

    9301,04%-1,01
  • DOLAR

    38,17% 0,54
  • EURO

    43,55% 0,41
  • GRAM ALTIN

    4083,54% 0,54
  • Ç. ALTIN

    6612,78% 0,65

Devletlerin yeni sorunu siber casusluk

ESET Research, Tayland hükümetini hedef alan Çin bağlantılı yeni APT grubu CeranaKeeper'ı keşfetti

Teknoloji 7.10.2024 09:43:00
Devletlerin yeni sorunu siber casusluk

 

 

Devletlerin yeni sorunu siber casusluk

 

 

Siber güvenlik şirketi ESET, Tayland'daki devlet kurumlarını hedef alan CeranaKeeper adlı yeni bir Çin bağlantılı gelişmiş kalıcı tehdit (APT) grubu keşfetti. Tayland hükümetine yönelik saldırıda büyük miktarda veri dışarı sızdırıldı. Grup, tespit edilmekten kaçınmak için arka kapılarını sürekli olarak güncelliyor ve kitlesel veri sızıntısına yardımcı olmak için yöntemlerini çeşitlendiriyor.

 

ESET araştırmacıları, Tayland'daki devlet kurumlarına karşı 2023 yılında başlayan ve büyük miktarda verinin sızdırıldığı birkaç hedefli kampanya keşfetti. Bu kampanyalarda Dropbox, PixelDrain, GitHub ve OneDrive gibi yasal dosya paylaşım hizmetleri kötüye kullanıldı. Bulgulara dayanarak ESET araştırmacıları, bu etkinlik kümesini ESET'in CeranaKeeper adını verdiği ayrı bir tehdit aktörünün işi olarak izlemeye karar verdi. Grubun araçlarının kodunda "bectrl" dizesinin çok sayıda geçmesi, arıcı kelimesi ile arı türü Apis Cerana veya Asya bal arısı arasında bir kelime oyunu olan isme ilham verdi. ESET, CeranaKeeper ve Tayland'daki güvenlik açığı ile ilgili bulgularını 2024 Virus Bulletin konferansında sundu. 

Tayland hükümetine yönelik saldırıların arkasındaki tehdit aktörü CeranaKeeper, grup tarafından kullanılan çok sayıda araç ve teknik hızla gelişmeye devam ettiği için özellikle acımasız görünüyor. Operatörler araç setlerini gerektiği gibi yeniden yazıyor ve tespit edilmekten kaçınmak için oldukça hızlı tepki veriyorlar. Bu grubun amacı mümkün olduğunca çok dosya toplamak ve bu amaçla belirli bileşenler geliştiriyor. CeranaKeeper sızma için bulut ve dosya paylaşım hizmetlerini kullanıyor ve muhtemelen bu popüler hizmetlere yönelik trafiğin çoğunlukla meşru görüneceği ve tespit edildiğinde engellenmesinin daha zor olacağı gerçeğine güveniyor.

 

Uzmanlar CeranaKeeper’ın (en az) 2022'nin başından beri aktif olduğunu ve esas olarak Tayland, Myanmar, Filipinler, Japonya ve Tayvan gibi Asya'daki devlet kurumlarını hedeflediğini aktarıyorlar. 

 

Tayland saldırıları, daha önce diğer araştırmacılar tarafından Çin bağlantılı APT grubu Mustang Panda'ya atfedilen bileşenlerin yenilenmiş sürümlerinden ve daha sonra ele geçirilen bilgisayarlarda komutları yürütmek ve hassas belgeleri dışarı çıkarmak için Pastebin, Dropbox, OneDrive ve GitHub gibi hizmet sağlayıcıları kötüye kullanan yeni bir araç setinden yararlandı.  Ancak taktikler, teknikler ve prosedürler, kod ve altyapı tutarsızlıklarının incelenmesi ESET'in CeranaKeeper ve MustangPanda'yı iki ayrı varlık olarak izlemenin gerekli olduğuna inanmasına yol açıyor. Çin'e bağlı her iki grup da ortak bir çıkar için ya da aynı üçüncü taraf aracılığıyla bilgi ve araç alt kümesi paylaşıyor olabilir.

 

CeranaKeeper'ı keşfeden ESET araştırmacısı Romain Dumont yaptığı açıklamada "Benzer yan yükleme hedefleri ve arşiv formatı gibi faaliyetlerindeki bazı benzerliklere rağmen ESET, iki grup arasında araç setlerindeki, altyapılarındaki, operasyonel uygulamalarındaki ve kampanyalarındaki farklılıklar gibi belirgin organizasyonel ve teknik farklılıklar gözlemledi. Ayrıca iki grubun benzer görevleri yerine getirme biçimlerinde de farklılıklar tespit ettik" dedi.

 

CeranaKeeper muhtemelen "ısmarlama stager" (ya da TONESHELL) adı verilen ve büyük ölçüde yan yükleme tekniğine dayanan ve ele geçirilmiş bir ağdan dosya sızdırmak için belirli bir komut dizisi kullanan kamuya açık bir araç seti kullanmaktadır. CeranaKeeper, operasyonlarında gruba özgü olduğu bilinen ve operasyonlarında kullanılan bileşenleri konuşlandırmaktadır.  Ayrıca grup, kodunda ESET'e geliştirme süreci hakkında bilgi veren bazı meta veriler bırakarak CeranaKeeper'a olan atfımızı daha da sağlamlaştırdı. 

 

Saldırganlar ayrıcalıklı erişim elde ettikten sonra TONESHELL arka kapısını kurdu. Kimlik bilgilerini boşaltmak için bir araç kullandı ve makinedeki güvenlik ürünlerini devre dışı bırakmak için yasal bir Avast sürücüsü ve özel bir uygulama kullandı. Ele geçirilen bu sunucudan, ağdaki diğer bilgisayarlara arka kapılarını dağıtmak ve çalıştırmak için bir uzaktan yönetim konsolu kullandılar.  Grup, ağ genelinde yeni bir BAT betiği dağıttı ve Etki Alanı Yöneticisi ayrıcalıkları elde etmek için etki alanı denetleyicisinden yararlanarak erişimlerini diğer makinelere genişletti. 

 

Tayland hükümetine yönelik saldırıda, saldırganlar daha önce belgelenmemiş, özel araçları konuşlandırmak için yeterli ilgiye sahip birkaç tehlikeye atılmış bilgisayar bulmuş ve seçmiştir. Bu destek araçları yalnızca belgelerin halka açık depolama hizmetlerine sızmasını kolaylaştırmak için değil aynı zamanda alternatif arka kapılar olarak da kullanıldı. Grubun kullandığı dikkate değer tekniklerden biri, kod paylaşımı ve iş birliği için popüler bir çevrimiçi platform olan GitHub'ın pull request ve sorun yorumu özelliklerini gizli bir ters kabuk oluşturmak için kullanarak GitHub’dan bir C&C sunucusu olarak faydalanmalarıdır.

İstanbullular Millet İftarında buluştu

Bursa'da otelde yangın faciası 2 kişi can verdi

Boykot listesi güncellendi, dev meydan mitingleri geliyor

Her Şey Çok Güzel Olacak Berkay tutuklandı

Kartalkaya faciası | Ruhsat veren müdür gözaltında

AKP'li Mücahit Birinci'ye tepki yağdı

Miting meydanlarını gölgeleyen küfürlere tepki yağıyor

TKP: Yönetici ve üyelerimiz derhal serbest bırakılmalıdır

KOBİ’ler için hassas verileri koruma rehberi

Saraçhane meydanı 5. gününde doldu | 15 milyon oy kullandı

Silivri'de İmamoğlu - Özdağ karşılaşması

İmamoğlu'na karar muamması! Yandaşlar servis etti, savcılık yalanladı

Ekrem İmamoğlu tutuklandı | Türkiye'ye yazık oldu

İBB soruşturmasında tutuklanan isimler açıklanıyor

Saraçhane'de polisten gazlı müdahale, yaralılar var

Mansur Yavaş, TOMA'ların ıslattığı öğrencilere battaniye

Keşke bu bariyerleri kaçaklara karşı sınırlara kursaydınız

İstanbul'a giriş çıkışlara sınırlama getirildi

Zafer Partisi, meydanlara geri dönüyor

İmamoğlu'ndan manifesto gibi ifade | Kasıtlı bir pusu staretejisi

Ankara'da ulaşıma İmamoğlu yasağı | ODTÜ'ye ulaşım yasak

İmamoğlu gözaltına alındı, Cengiz'e arazi yağdı

‘R’ Harfini Söyleyemeyen Çocuklar İçin Gizli Neden: Dil Bağı

Öfke kontrolu eğitimi ile trafik kazaları yüzde 50’den fazla azalır!

Özgür Özel'in hedefinde AKP ve yandaş medya var

Serdar Haydanlı serbest bırakıldı | Kilit isim demişlerdi

Zeynep Bastık'tan ODTÜ öğrencilerine destek

Türkiye sokakta, Habertürk'te Cübbeli var

Engellemeler, polis barikatları, TOMA'lar yüz binleri durduramadı

Ekrem İmamoğlu | Bu soruyu muhattap almıyorum

Yükleniyor

LİG TABLOSU

Takım O G M B Av P
1.Galatasaray 29 23 1 5 42 74
2.Fenerbahçe 29 22 2 5 47 71
3.Samsunspor 30 15 9 6 9 51
4.Eyüpspor 30 14 8 8 16 50
5.Beşiktaş 29 13 7 9 12 48
6.İstanbul Başakşehir 29 13 10 6 9 45
7.Gazişehir Gaziantep 29 12 11 6 1 42
8.Antalyaspor 30 11 12 7 -19 40
9.Trabzonspor 29 10 10 9 11 39
10.Göztepe 29 10 10 9 9 39
11.Kasımpaşa 30 9 9 12 -4 39
12.Konyaspor 30 10 13 7 -6 37
13.Kayserispor 29 9 11 9 -11 36
14.Bodrum FK 30 9 14 7 -10 34
15.Rizespor 29 10 15 4 -14 34
16.Sivasspor 30 8 15 7 -10 31
17.Alanyaspor 29 8 14 7 -11 31
18.Hatayspor 29 4 18 7 -24 19
19.Adana Demirspor 29 2 23 4 -47

YAZARLAR