Çinli bir hacker, yaklaşık iki yıla yayılan ve Güneydoğu Asya’daki askeri örgütleri hedef alan çok sayıda siber saldırı operasyonunda yeni bir arka kapı kurulduğunu açıkları.
En az on yıldır, Naikon olarak bilinen hack grubu, Filipinler, Malezya, Endonezya, Singapur ve Tayland dahil olmak üzere Güney Çin Denizi çevresindeki ülkelerdeki örgütleri 2010’dan bu yana en az on yıl boyunca aktif olarak gösterim yaptı.
Naikon, büyük olasılıkla Çin’e bağlı devlet destekli bir tehdit aktörüdür ve çoğunlukla çabalarını devlet kurumları ve askeri kuruluşlar da dahil olmak üzere yüksek profilli kuruluşlara odaklamasıyla bilinir.
Nebulae Adlı Kötü Amaçlı Yazılım
Bitdefender’ın Siber Tehdit İstihbarat Laboratuvarı’nda güvenlik araştırmacıları tarafından bugün yayınlanan araştırmaya göre, Naikon, saldırıları sırasında muhtemelen kalıcılık sağlamak için kullanılan Nebulae olarak adlandırılan ikinci aşama kötü amaçlı yazılımı yüklemek için meşru yazılımı kötüye kullandı.
Nebulae, saldırganların sistem bilgilerini toplamasına, dosya ve klasörleri değiştirmesine, komut ve kontrol sunucusundan dosya indirmesine ve güvenliği ihlal edilmiş cihazlarda işlemleri yürütmesine, listelemesine veya sonlandırmasına olanak tanıyan ek yetenekler sağlar.
Kötü amaçlı yazılım ayrıca, oturum açtıktan sonra sistem yeniden başlatıldığında otomatik olarak yeniden başlatmak için yeni bir kayıt defteri anahtarı ekleyerek kalıcılık kazanmak üzere tasarlanmıştır.
“Şimdiye kadar elde ettiğimiz veriler, Nebulaların bu operasyondaki rolü hakkında neredeyse hiçbir şey söylemiyor, ancak bir kalıcılık mekanizmasının varlığı, aktörler için olumsuz bir senaryo durumunda mağdura yedek erişim noktası olarak kullanıldığı anlamına gelebilir,” Bitdefender araştırmacısı Victor Vrabie, dedi.
Haziran 2019 ile Mart 2021 arasında gözlemlenen saldırılar sırasında Naikon, DLL ele geçirme güvenlik açıklarını kullanarak kötü amaçlı yazılımı uygulamalara yüklemedi aşağıdaki uygulamalar:
- Sandboxie COM Hizmetleri (BITS) (SANDBOXIE LTD)
- Outlook (Microsoft Corporation)
- VirusScan (McAfee, Inc.)
- Mobil Popup Uygulaması (Quick Heal Technologies (P) Ltd.)
- ARO 2012 Eğitimi
Bitdefender, bu operasyonu, komuta ve kontrol sunucularına ve grubun geçmiş operasyonlarında kullanılan Aria-Body yükleyici kötü amaçlı yazılım ailesine ait kötü amaçlı yüklere dayanan Naikon tehdit aktörüne güvenle bağladı.
