Araştırmacılar Asya Hükümetlerini ve Telekomünikasyon Devlerini Hedef Alan Saldırıları Ortaya Çıkardı - Dünyadan Güncel Teknoloji Haberleri

Araştırmacılar Asya Hükümetlerini ve Telekomünikasyon Devlerini Hedef Alan Saldırıları Ortaya Çıkardı - Dünyadan Güncel Teknoloji Haberleri
Sunucudaki verilerin yazıldığı, oluşturulan dosya İzinsiz girişlerin bir kısmının Dalbit olarak bilinen Çinli bir bilgisayar korsanlığı ekibine atfedildiği belirtiliyor

Check Point, “Bu kampanyada gözlemlendiği gibi, tek kullanımlık yükleyicilerin ve indiricilerin kullanımı, deneyimli aktörler arasında bile daha yaygın hale geliyor” dedi “Bu araçlar, bilinen herhangi bir aktör tarafından oluşturulan ürünlerle hiçbir açık kod örtüşmesini paylaşmıyor ve birbirleriyle pek fazla ortak noktaya sahip değil

CurlKeep, güvenliği ihlal edilen ana bilgisayar hakkındaki bilgileri uzak bir sunucuya göndermek, sunucu tarafından gönderilen komutları yürütmek ve sistemdeki bir dosyaya sunucu yanıtlarını yazmak için tasarlanmıştır

Ayrıca, uzaktan bağlantıyı kabul etmek ve şifrelenmiş bir yapılandırma dosyası almak için beş farklı bağlantı noktasını (60810, 60811, 60812, 60813 ve 60814) dinleyen StylerServ adlı pasif bir implant da keşfedildi dll aracılığıyla CurKeep adlı bir arka kapıyı yüklemek için DLL yan yüklemesinden yararlanan yasal bir yürütülebilir dosya içeren bir ZIP dosyası eki içeren hedef odaklı kimlik avı e-postasıyla başlar ”

Gelişme, AhnLab Güvenlik Acil Durum Müdahale Merkezi (ASEC) olarak geliyor açıklığa kavuşmuş Güney Kore ve Tayland’daki çeşitli kuruluşların, açık kaynaklı Go tabanlı bir arka kapıyla hedef alındığı belirtiliyor

Stayin’ Alive’ı ToddyCat’e bağlayan kesin bir kanıt olmasa da, bulgular her iki izinsiz giriş setinin de benzer hedeflerin peşinden gitmek için aynı altyapıyı kullandığını gösteriyor


12 Ekim 2023Haber odasıSiber Saldırı / Kötü Amaçlı Yazılım

Asya’daki yüksek profilli hükümet ve telekomünikasyon kuruluşları, 2021’den bu yana devam eden ve bir sonraki aşamadaki kötü amaçlı yazılımları dağıtmak için temel arka kapılar ve yükleyicileri dağıtmak üzere tasarlanan bir kampanyanın parçası olarak hedefleniyor

“Araçların basit doğası […] ve bunların geniş çeşitliliği, bunların tek kullanımlık olduğunu ve çoğunlukla ek yükleri indirmek ve çalıştırmak için kullanıldığını gösteriyor

Siber güvenlik şirketi Check Point, etkinliği bu isim altında takip ediyor Hayatta kalmak

Saldırı zincirleri, arşivde bulunan sahte bir DLL dal_keepalives ” söz konusu Çarşamba günü yayınlanan bir raporda ”

Kampanyada dikkat çeken şey altyapının paylaşımlar çakışıyor En azından Aralık 2020’den bu yana Avrupa ve Asya’daki hükümete ve askeri kurumlara yönelik siber saldırılar düzenlemesiyle tanınan, Çin bağlantılı bir tehdit aktörü olan ToddyCat tarafından kullanılan teknoloji



siber-2

BlueShell Bu, komut yürütmeye ve dosya indirme ve yüklemeye olanak tanır

Komuta ve kontrol (C2) altyapısının daha yakından incelenmesi, CurLu, CurCore ve CurLog olarak adlandırılan, DLL dosyalarını alabilen, uzaktan komutları yürütebilen ve yeni bir komutla ilişkili bir işlemi başlatabilen, sürekli gelişen yükleyici varyantlarının bir cephaneliğini ortaya çıkardı “Tek kullanımlık araçların kullanımı, sıklıkla değiştirildikleri ve muhtemelen sıfırdan yazıldıkları için hem tespit hem de ilişkilendirme çabalarını daha da zorlaştırıyor Hedefler arasında Vietnam, Özbekistan, Pakistan ve Kazakistan’da bulunan kuruluşlar yer alıyor