Birden fazla şirketteki bir dizi fidye yazılımı olayını araştıran güvenlik araştırmacıları, saldırıların Çin adına çalıştığına inanılan bir hacker grubunun işi olabileceğini gösteren kötü amaçlı yazılım keşfetti.
Saldırılar, normalde gelişmiş tehdit aktörlerinde görülen karmaşıklıktan yoksun olsa da, onları normalde siber casusluk kampanyalarında yer alan bir grup olan, TG-3390, Emissary Panda, BRONZE UNION, Iron Tiger ve LuckyMouse olarak da bilinen APT27 ile ilişkilendiren güçlü kanıtlar var.
Windows BitLocker’ı kötüye kullanma
Fidye yazılımı Çin devletinde hackerlar tarafından yapılan saldırılar 2020 yılında gerçekleşti ve doğrudan çevrimiçi kumar sektöründe küresel olarak faaliyet gösteren ve birkaç çekirdek sunucuyu başarıyla şifreleyen en az beş şirketi hedef aldı. Bunlar ciddi anlamda fidye yazılımı olayları olsa da, tehdit aktörü sunucuları kilitlemek için Windows’daki sürücü şifreleme aracı olan BitLocker’a güveniyordu.
Siber güvenlik firmaları Profero ve Security Joes’dan araştırmacılar bu olaylara yanıt verdiler ve bilgisayar korsanlarının hedeflerine, başka bir üçüncü taraf sağlayıcı aracılığıyla bulaşmış olan üçüncü taraf bir hizmet sağlayıcı aracılığıyla ulaştığını gördüler.
Saldırıların analizi, bu yılın başlarında Trend Micro’nun bir raporunda açıklanan ve APT27 ve Winnti’ye atfedilen bir kampanya olan DRBControl ile bağlantılı kötü amaçlı yazılım örneklerini ortaya çıkardı, her iki grup da en az 2010’dan beri aktif ve Çinli bilgisayar korsanlarıyla ilişkili. APT27 siber casusluğa odaklanırsa, Winnti finansal motivasyonuyla tanınır.
Bir de ortak raporda bunlar DRBControl kampanyada kullanılan birine Clambling örneğini arka kapı benzer bulundu söyleyerek bu iki gruba BleepingComputer, PROFERO ve Güvenlik Joes payı kanıt işaret ile paylaştı.
Ayrıca ASPXSpy web kabuğunu da ortaya çıkardılar. Bu kötü amaçlı yazılımın değiştirilmiş bir sürümü daha önce APT27 ile ilişkilendirilen saldırılarda görülmüştü. Virüs bulaşmış bilgisayarlarda bulunan diğer kötü amaçlı yazılımlar arasında, Çin ile bağlantılı kampanyalar hakkındaki siber güvenlik raporlarında düzenli olarak bahsedilen PlugX uzaktan erişim truva atı da bulunmaktadır.
Raporda, “Bu özel enfeksiyon zincirinin arkasında kimin olduğuna ilişkin olarak, kod benzerlikleri ve TTP’ler [taktikler, teknikler ve prosedürler] açısından APT27 / Emissary Panda ile son derece güçlü bağlantılar vardır.” Mali amaçlı bir kampanya yürüten bir siber casusluk grubu alışılmadık bir durum olsa da, bu saldırı APT27’nin kurban sistemlere fidye yazılımını ilk kez dağıtması olmayacaktır.
Positive Technologies’deki araştırmacılar, bu grup tarafından normalde kullanılan kötü amaçlı yazılımın kullanımına dayalı olarak, Nisan 2020’deki bir Polar fidye yazılımı saldırısını APT27’ye bağladı.
Ayrıca saldırgan, makinedeki ayrıcalıkları artırmak için 2017’den (CVE-2017-0213 ) bir güvenlik açığından yararlandı. Bu hatanın yararlanma kodu herkese açık. Güvenlik Joes Baş Güvenlik Analisti Daniel Bunce, BleepingComputer’a, bu saldırılardan çıkarılacak en önemli şeyin bir siber casusluk grubunun finansal olarak yönlendirilen bir kampanyaya dahil olması olduğunu söyledi.
Son zamanlarda, bir hükümet için çalıştığına inanılan başka bir hacker grubu fidye yazılımı saldırılarıyla ilişkilendirildi. ClearSky’ye göre, İran destekli bilgisayar korsanlığı grubu Fox Kitten, İsrail ve Brezilya’daki kuruluşlara karşı Pay2Key fidye yazılımı operasyonlarında yer aldı.
Bir başka haber: Fidye Yazılımı İçin Tim Oluşturuldu
